CSP Form-Action Value
Checker ID: #9
CSP Form-Action Value
Define para onde os formulários do seu site (login, contato, newsletter) podem enviar dados quando o usuário clica em "Enviar".
Evita que um atacante altere seu formulário para roubar senhas enviando-as para um site malicioso. Reconhecemos que sites modernos usam ferramentas externas (como Mailchimp ou Stripe), por isso permitimos o envio para parceiros confiáveis.
• O parâmetro form-action deve estar presente.
• Ele deve ser 'self' (envia para o próprio site) OU uma lista específica de domínios confiáveis (whitelist).
• O valor * (qualquer lugar) é proibido.
HTTP/1.1 200 OK
Content-Security-Policy: form-action 'self';
Content-Type: text/html; charset=UTF-8HTTP/1.1 200 OK
Content-Security-Policy: form-action 'self' https://api.stripe.com;
Content-Type: text/html; charset=UTF-8HTTP/1.1 200 OK
Content-Security-Policy: form-action *;
Content-Type: text/html; charset=UTF-8CSP Form-Action Value
O “segurança da balada” (Content Security Policy – CSP) não controla apenas quem entra, mas também para onde cada pessoa pode ir depois que já está dentro. Da mesma forma, a CSP Form-Action define para quais destinos os formulários do site estão autorizados a enviar dados, impedindo que informações sejam exfiltradas para domínios maliciosos.
Imagine que o usuário preenche um formulário e clica em "Enviar". Um atacante poderia alterar o formulário para enviar esses dados para o site dele. Essa regra garante que o botão "Enviar" só mande dados para lugares que você confia.
• O cabeçalho Content-Security-Policy deve conter o parâmetro form-action com o valor igual a 'self', ou seja, só enviam para o próprio site.
Content-Security-Policy: form-action 'self';Content-Security-Policy: form-action *;