我来帮你一步步定位和解决这个CSP的form-action违规问题，结合你给出的信息，咱们从几个关键点入手：

1. 先处理错误里的重复'self'问题 #

你收到的错误提示显示指令是：

"form-action 'self' 'self' https://localhost:44321"

而你的代码里只手动添加了一次'self'，这说明你的CSP中间件可能自动默认注入了一次'self'，你手动添加的那行又重复了一次。不同框架的CSP中间件（比如ASP.NET Core的Microsoft.AspNetCore.Csp）会给部分指令默认加上'self'，建议你：

• 检查中间件的默认配置文档，确认FormAction指令是否默认包含'self'
• 如果默认已经包含，删掉你代码里的options[CspDirective.FormAction].ApprovedSources.Add("'self'");这行，避免重复声明导致的解析异常

2. 验证实际下发的CSP响应头 #

配置代码写了不代表实际生效，一定要确认浏览器收到的CSP头内容：

• 打开浏览器开发者工具（F12），切换到Network标签页
• 刷新页面，找到你的主页面请求，查看Response Headers里的Content-Security-Policy字段
• 确认实际的form-action指令是否包含你配置的https://*.test.com和https://*.testdev.com：
  • 如果这两个域名没出现在头里，说明你的配置代码没被正确执行，检查中间件是否在Configure方法中正确注册，或者配置代码的位置是否在启动流程的正确阶段
  • 如果出现了，继续往下排查

3. 确认表单提交的目标URL是否匹配规则 #

你的JavaScript代码里的表单提交目标，可能和你配置的规则不匹配：

• 检查表单的action属性值：是不是提交到了http://而非https://的地址？（你的配置只允许https的域名）
• 检查域名匹配：https://*.test.com只匹配带子域名的地址（比如https://abc.test.com），如果是直接提交到https://test.com（无子域名），这个规则不生效，需要单独添加https://test.com
• 检查端口：如果目标URL带了非标准端口，而你的配置里没包含，也会触发违规

4. 排查是否有其他配置覆盖了你的CSP设置 #

有时候Web服务器或者其他中间件会覆盖你的代码配置：

• 检查Web服务器（IIS、Nginx等）的配置文件，看看是否在服务器层面设置了Content-Security-Policy头
• 检查项目中其他中间件，是否有其他组件也在修改CSP头，导致你的配置被覆盖

5. 用最小化配置测试 #

先简化你的配置，缩小排查范围：

// 暂时只保留必要的源
options[CspDirective.FormAction].ApprovedSources.Clear(); // 先清空默认值
options[CspDirective.FormAction].ApprovedSources.Add("'self'");
options[CspDirective.FormAction].ApprovedSources.Add("https://localhost:44321");

如果这个简化配置不报错，再逐个添加https://*.test.com和https://*.testdev.com，找到导致问题的具体规则，排查域名格式是否正确（比如多打了点、拼写错误等）

内容的提问来源于stack exchange，提问作者user9547716