如果我有一个 Intranet 应用程序并且正在执行客户端和服务器端验证 - 我是否应该设计服务器端验证(主要是出于安全原因)以具有与客户端验证类似的外观?
我想我要问的是:服务器端验证是否真的需要在字段级别返回正确的错误消息?或者它可以简单地拒绝页面,因为用户应该在现代浏览器中使用 javascript?(我正在使用 Kendo 进行客户端验证,这将在主要浏览器中运行)。
这是有时执行的策略,还是有理由让服务器端验证在视觉上有用?如果是这样,这是什么原因?如果网站是面向公众的,它会改变吗?
谢谢!
我认为在某些情况下,您肯定希望服务器端验证与客户端验证一样用户友好。想象一个常见的场景,您的用户必须输入一些登录详细信息。您可以验证其中的一些客户端 - 例如,电子邮件地址的格式正确 - 但从安全角度来看,您需要检查服务器上的登录信息是否正确,如果密码不正确,那么你需要回一个友好的信息。在这种情况下拒绝整个页面是可以的,但这并不能告诉用户他们哪里出错了。
客户端验证的作用是让您减少需要执行的服务器端验证的数量。检查某些类型的输入 - 必填字段或电话号码 - 是否正确在客户端执行要快得多,这增加了整体用户体验。添加客户端验证在技术上也变得更快;它很好地嵌入到了 HTML 5 中,并且有许多很棒的 jQuery 库。但是友好的服务器端验证总会有一个需要安全性的地方。