进行客户端或服务器端验证哪个更好?
在我们的情况下,我们正在使用
我所做的许多验证工作都是在用户输入数据时对其进行验证。例如,我使用该keypress事件来防止文本框中的字母,设置最大字符数,并且该数字在一定范围内。
keypress
我想更好的问题是,与客户端相比,进行服务器端验证是否有任何好处?
真棒的答案大家。我们拥有的网站受到密码保护,并且用户群较小(<50)。如果他们没有运行JavaScript,我们将发送忍者。但是,如果我们要为每个人设计一个站点,那么我同意双方都进行验证。
正如其他人所说,您应该同时做这两项。原因如下:
您希望首先在客户端上验证输入,因为您可以向 普通用户 提供 更好的反馈 。例如,如果他们输入无效的电子邮件地址并移至下一个字段,则可以立即显示错误消息。这样,用户可以 在 提交表单 之前 更正每个字段。
如果仅在服务器上进行验证,则他们必须提交表单,获取错误消息,然后尝试找出问题所在。
(可以通过让服务器重新呈现表单并填充用户的原始输入来减轻这种痛苦,但是客户端验证仍然更快。)
您想在服务器端进行验证,因为您可以 防止恶意用户的攻击 , 该用户 可以轻松绕过您的JavaScript并将危险的输入提交给服务器。
信任您的UI是非常危险的。 他们不仅会滥用您的UI,而且可能根本没有使用您的UI,甚至根本没有使用浏览器 。如果用户手动编辑URL或运行自己的Javascript或使用其他工具调整HTTP请求该怎么办?例如,如果他们curl从一个脚本或从一个脚本发送自定义HTTP请求怎么办?
curl
( 这不是理论上的;例如,我开发了一个旅行搜索引擎,通过向POST用户发送请求,就好像用户已经填写了每个公司的搜索表一样,然后将其收集并排序,从而将用户的搜索重新提交给许多合作伙伴航空公司,公交公司等。这些结果从未被执行过,这些公司的JS表单从未执行过,对于我们来说至关重要的是,它们会在返回的HTML中提供错误消息。当然,API会很好,但这就是我们必须要做的。)
POST
从安全的角度来看,不允许这样做不仅是幼稚的,而且是非标准的:应允许客户端以他们希望的任何方式发送HTTP,并且您应该正确响应。这包括验证。
服务器端验证对于 兼容性 也很重要-并非所有用户(即使他们使用的是浏览器)都将启用JavaScript。
有些验证 甚至无法在服务器端应用程序代码中正确完成,而在客户端代码中则完全不可能 ,因为它们取决于数据库的当前状态。例如,“没有其他人注册过该用户名”,“您正在评论的博客文章仍然存在”,“现有的预订不与您请求的日期重叠”或“您的帐户余额仍然足以支付该笔购买费用” 。” 只有数据库才能可靠地验证依赖于相关数据的数据。 开发人员经常将其搞砸,但是PostgreSQL提供了一些好的解决方案。