客户端验证和服务器端验证哪个更好?
在我们的情况下,我们使用
jQuery和MVC。 JSON数据在视图和控制器之间传递。
我所做的很多验证都是在用户输入数据时进行验证。 例如,我使用按键事件来防止文本框中出现字母,设置一个最大字符数,并在一个范围内设置一个数字。
我想更好的问题应该是,做服务器端验证比客户端验证有什么好处吗?
很棒的回答每个人。我们拥有的网站是密码保护的,用户基数小(<50)。如果他们没有运行JavaScript,我们将发送忍者。但如果我们为每个人设计一个网站,我同意对双方进行验证。
当前回答
客户端数据验证对于更好的用户体验很有用:例如,如果用户输入了错误的电子邮件地址,就不应该等到远程服务器处理了他的请求后才知道他输入了错误。
然而,由于攻击者可以绕过客户端验证(甚至可能根本不使用浏览器),所以服务器端验证是必需的,并且必须是保护后端免受恶意用户攻击的真正大门。
其他回答
做服务器端验证而不是客户端验证的好处是客户端验证可以被绕过/操纵:
最终用户可以关闭javascript 数据可以通过一个定制的应用程序直接发送到你的服务器,而这个人甚至不使用你的网站 页面上的Javascript错误(由各种原因引起)可能导致部分(而不是全部)验证运行
简而言之,始终始终验证服务器端,然后将客户端验证视为增强最终用户体验的“额外”。
我将建议实现客户端和服务器验证,它使项目更安全......如果我必须选择一个,我会选择服务器端验证。
你可以在这里找到一些相关信息 https://web.archive.org/web/20131210085944/http://www.webexpertlabs.com/server-side-form-validation-using-regular-expression/
JavaScript可以在运行时修改。
我建议在服务器上创建验证结构,并与客户端共享该结构。
你需要在两端单独的验证逻辑,例如:
客户端输入的“必需”属性
字段。长度> 0服务器端。
但是使用相同的验证规范将消除两端镜像验证的一些冗余(和错误)。
我发现了一个有趣的链接,它区分了严重的、系统的、随机的错误。
客户端验证非常适合用于防止严重和随机错误。通常是任何输入的最大长度。不要模仿服务器端验证规则;提供你自己粗略的经验验证规则(例如客户端200个字符;在服务器端,由强业务规则指定的特定n字符小于200)。
服务器端验证非常适合用于防止系统错误;它将执行业务规则。
在我参与的一个项目中,验证是通过ajax请求在服务器上完成的。在客户机上,我相应地显示错误消息。
进一步阅读:严重的、系统性的、随机的错误:
https://answers.yahoo.com/question/index?qid=20080918203131AAEt6GO
必须始终在服务器上进行验证。
在客户端上进行验证对用户来说也很好,但这是完全不安全的。
