哪个更好地进行客户端或服务器端验证?
在我们的情况下,我们正在使用
我所做的很多验证都是在用户输入数据时验证数据。例如,我使用该keypress事件来防止文本框中出现字母,设置最大字符数以及一个数字在一个范围内。
我想更好的问题是,在客户端进行服务器端验证有什么好处吗?
各位大大回答一下。我们拥有的网站受密码保护,适用于小型用户群(<50)。如果他们没有运行 JavaScript,我们将发送 ninjas。但是,如果我们为每个人设计一个站点,我会同意在双方进行验证。
正如其他人所说,你应该两者都做。原因如下:
您希望首先在客户端验证输入,因为您可以向普通用户提供更好的反馈。例如,如果他们输入无效的电子邮件地址并移至下一个字段,您可以立即显示错误消息。这样用户就可以在提交表单之前更正每个字段。
如果您仅在服务器上进行验证,则他们必须提交表单、收到错误消息并尝试查找问题。
(这种痛苦可以通过让服务器在填写用户原始输入的情况下重新呈现表单来缓解,但客户端验证仍然更快。)
您希望在服务器端进行验证,因为您可以防范恶意用户,他们可以轻松绕过您的 JavaScript 并向服务器提交危险输入。
信任你的用户界面是非常危险的。他们不仅会滥用您的用户界面,而且他们可能根本不会使用您的用户界面,甚至可能不会使用浏览器。如果用户手动编辑 URL,或者运行他们自己的 Javascript,或者使用其他工具调整他们的 HTTP 请求怎么办?例如,如果他们curl从脚本或从脚本发送自定义 HTTP 请求会怎样?
(这不是理论上的;例如,我在一个旅行搜索引擎上工作,该引擎通过发送POST请求将用户的搜索重新提交给许多合作航空公司、巴士公司等,就像用户填写了每个公司的搜索表单一样,然后收集和排序所有的结果。那些公司的表单 JS 从来没有被执行过,他们在返回的 HTML 中提供错误消息对我们来说至关重要。当然,一个 API 会很好,但这是我们必须做的。)
不允许这样做不仅从安全角度来看是幼稚的,而且也是非标准的:应该允许客户端通过他们希望的任何方式发送 HTTP,并且您应该正确响应。这包括验证。
服务器端验证对于兼容性也很重要- 并非所有用户,即使他们使用浏览器,都会启用 JavaScript。
有些验证甚至无法在服务器端应用程序代码中正确完成,而在客户端代码中则完全不可能,因为它们取决于数据库的当前状态。例如,“没有其他人注册过那个用户名”,或者“你评论的博客文章仍然存在”,或者“没有现有的预订与你请求的日期重叠”,或者“你的账户余额仍然足以支付这次购买的费用” .” 只有数据库才能可靠地验证依赖于相关数据的数据。开发人员经常搞砸,但PostgreSQL 提供了一些很好的解决方案。
是的,客户端验证总是可以完全绕过的。您需要同时执行客户端以提供更好的用户体验和服务器端以确保您获得的输入实际经过验证,而不仅仅是由客户端进行验证。
我只是要重复一遍,因为它非常重要:
始终在服务器上验证
并为用户响应添加 JavaScript。
与客户端验证相比,进行服务器端验证的好处是可以绕过/操纵客户端验证:
简而言之 - 始终,始终验证服务器端,然后将客户端验证视为增加的“额外”以增强最终用户体验。
您必须始终在服务器上进行验证。
在客户端上进行验证对用户来说也很好,但完全不安全。