CSP 导航与基础约束：form-action 与 base-uri 的强化

# 概述 严格的 CSP 不仅约束资源加载，还应通过导航类与文档类指令防止恶意表单提交与基准 URL 篡改。`form-action` 控制表单目标域，`base-uri` 限制 `` 元素可用的 URL，避免被攻击者借助基准路径影响相对链接解析。 # form-action：限制提交目标 - 指定允许的目标来源（`'self'`、`https:`、主机白名单）；也可设为 `'none'` 完全禁止表单提交［参考1,4］。 - 使用内联 JavaScript 作为 `action` 将触发 CSP 违规，建议改为静态 URL 或受控跳转［参考1］。 # base-uri：限制文档基准 URL - 限制 `` 的 `href` 来源，避免通过基准路径操控相对链接解析与资源加载；可设为 `'none'` 禁用，或限定 `'self'` 与特定域［参考2,3,4］。 # 工程建议 - 结合 `report-to`/`Report-Only` 灰度启用，观察违规；与 `frame-ancestors`、`script-src` 严格策略协同。 # 参考与验证 - ［参考1］MDN：`form-action` 指令（可设 `'none'` 与允许来源，内联 action 触发违规）：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/form-action - ［参考2］MDN 中文：`base-uri` 指令说明（限制 `` 的 URL）：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Reference/Headers/Content-Security-Policy/base-uri - ［参考3］MDN 英文：CSP 头文档（导航与文档指令概览）：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy - ［参考4］MDN 安全实践：实施严格 CSP（禁用 `` 设置与导航约束）：https://developer.mozilla.org/en-US/docs/Web/Security/Practical_implementation_guides/CSP # 关键词校验 关键词与 CSP 导航/文档约束一致。