谁能解释一下java中服务器端验证的需求和场景。为什么我们不能使用 javascript 在客户端使用验证?
问问题
2496 次
3 回答
5
因为攻击者可以通过简单地禁用 JavaScript 或使用httpclient或curl等外部工具调用您的服务器来绕过客户端验证。最后,使用像firebug这样的工具,几乎可以提交任何东西。
此外,它使您的 GUI 响应更快,因为您不必每次用户尝试提交表单时都重新加载页面(因此,它减少了网络流量和服务器负载)。
于 2012-04-30T08:18:25.577 回答
2
客户端验证有利于更好的用户体验,如果他犯了错误,则无需发送 HTTP 请求来找出错误。
例如 - 如果用户名至少应该有 3 个字符长,并且用户输入 2,您可以立即告诉用户有问题。
服务器端验证保护服务器免受可能由不诚实用户发送的损坏/恶意请求。
例如 - 如果用户尝试执行他不应该使用 SQL 注入的查询,您可以在服务器端阻止它,因为他可能不会通过您的网站发送查询,而是来自不同的客户端。
于 2012-04-30T08:18:51.097 回答
1
主要是出于安全原因。如果有人设法修改您的客户端并绕过验证,您可能会严重损害您的服务器。
于 2012-04-30T08:18:50.643 回答