我有一个关于验证使用AJAX提交的表单中的数据的问题(并不重要)。
我使用jQuery验证它,通常是三件事:
我的问题:重复服务器端需要多少验证?用户可以执行JS和/或更改我的HTML,以便将任何危险代码提交到我的后端吗?
答案 0 :(得分:3)
从不依赖进行JavaScript和客户端验证。仅仅因为用户可以非常轻松地禁用或绕过客户端验证。
任何用户输入都应视为无效,直到在服务器端验证。
客户端验证应被视为“不错的”功能,以增加应用程序的UX值(它允许用户更快地检测错误,而不必重新填写表单)。但就是这样。它不是可靠的服务器端验证的替代方案。