我有一个表格可以接受来自自我和外部来源的表格帖子。如何在 Apache/2.4.29 (Ubuntu) Web 服务器中输入正确的语法以阻止来自所有外部来源的表单帖子?我已经在我的 apache 配置文件中设置了以下内容,并且重新启动了 apache,没有出现错误:
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
Header set Content-Security-Policy "form-action 'self'"
DocumentRoot /home/michael/public_html
但是当我测试从外部站点发布到它时,它仍然接受它。我知道这一点是因为输入字段包含与我在外部表单中输入的值相同的值。我正在使用 Brave 1.73 进行测试。
表单操作控制表单可以发布到哪里,而不是可以从哪里接收帖子。您的问题可能可以通过将 SameSite 限制设置为“严格”或“宽松”的 cookie 来解决。如果您在表单页面上设置此 cookie,则仅当从您的网站发布表单时才会包含该 cookie,而从其他网站发布表单时则不会包含该 cookie。如果此 cookie 不存在,您应该拒绝表单输入。