1

我有一个关于验证使用 AJAX 提交的表单中的数据的问题(并不重要)。

我正在使用 jQuery 验证它,通常是三件事:

  • 现场有数据吗?
  • 数据的长度(和数据的种类)是否正确?
  • 数据是否与正则表达式匹配(没有奇怪的 XSS 字符等)

我的问题:我需要在服务器端重复多少验证?用户可以执行 JS 和/或更改我的 HTML 以将任何危险代码提交到我的后端吗?

4

1 回答 1

3

永远不要依赖JavaScript 和客户端验证。仅仅因为用户可以很容易地禁用或规避您的客户端验证。

在服务器端验证之前,任何用户输入都应视为无效

客户端验证应被视为“值得拥有”的功能,以增加应用程序的 UX 价值(它允许用户更快地检测到错误,而无需重新填写表单)。但仅此而已。它不是可靠的服务器端验证的替代方案。

于 2012-11-28T21:27:50.140 回答