navigate-tonavigate-to 는 문서가 이동(navigate)할 수 있는 목적지 URL 을 제한하려던 지시어로, 링크 클릭·form 제출·window.location·window.open 등 모든 내비게이션을 대상으로 삼았습니다. 그러나 명세가 진전되지 못하고 프라이버시·구현 우려로 사실상 폐기되어 주요 브라우저에서 지원되지 않습니다.
설계 의도는 form-action(폼 제출만 통제)보다 넓게, 모든 유형의 내비게이션 목적지를 화이트리스트로 제한해 오픈 리다이렉트·피싱 유도·데이터 유출 목적의 페이지 이동을 막는 것이었습니다. 예컨대 XSS 가 location = 'https://evil.example/...' 로 자격증명을 실어 보내려 해도 navigate-to 로 차단할 수 있으리라 기대했습니다.
그러나 리다이렉트 처리·크로스 오리진 정보 노출 등 프라이버시 문제와 구현 복잡성 때문에 표준화가 중단되었고, 브라우저 상호운용 지원이 없어 실제 방어에 의존할 수 없습니다. 내비게이션 목적지 통제가 필요하면 현재로서는 form-action(폼)·frame-ancestors(임베드 방향) 등 실제 지원되는 지시어와 애플리케이션 레벨 검증을 사용하는 것이 현실적입니다.
Content-Security-Policy: navigate-to 'self' https://trusted.example.com