对于极简主义环境中的极简接触表单来说,前端验证通常是多余的,这是真的吗?
对于极简主义环境中的极简接触表单来说,前端验证通常是多余的,这是真的吗?
提问于 2021-03-11 16:15:54
假设我有一个持续升级和维护良好的LAMP环境,它的CMS是其全部核心,并且也是不断升级的,我创建了一个简单的后端HTML联系人表单,它与CMS无关(不是站点CMS的一个模块),所以总体环境是极简主义的,非常安全,在这些方面,联系人表单是极简的:
- 它不将任何数据存储在环境中的任何数据库中。
- 它不包括任何敏感数据(密码、金融数据等)的字段。
- 它只有并且应该始终只有以下字段:
- 名称(
input type="text") - 电子邮件(
input type="email") - 电话(
input type="tel") - 主题(
<select><OPTIONS></select>) - 首选约会日期(
input type="date") 确切时间将以私人方式设置,因为自2021年11月3日起,W3不提供合并日期&小时-分钟字段 - 备注(
input type="text")
- 名称(
问题
,对于极简主义环境中的极简接触表单来说,前端验证通常是多余的吗?
Notes
- 所谓“前端验证”,我指的仅仅是CSS/HTML的诡计,而不是任何HTML派生的特殊标记行为。
- 我仍然没有向潜在客户发送消息副本的机制,但我希望将来能添加一个。
- 对于表示发送成功的消息,我仍然没有AJAX/AJAX,但我希望在将来添加一个
回答 1
Security用户
回答已采纳
发布于 2021-03-11 17:04:42
我想说的是,前端验证和后端验证并不是多余的,因为它们的用途不同:
- 后端验证:在数据格式进入应用程序时强制执行。
- 前端验证:在填写表单时减少用户的挫折感。
如果您的应用程序由于某些重要的原因(安全性、数据正确性等)需要输入验证,那么您需要在服务器上这样做,并拒绝不符合的输入(400坏请求)。在客户端进行验证应该只涉及用户体验--例如,您可以在用户界面中输入“这不是一个有效的电子邮件地址”消息,但不应该依赖于客户端逻辑,因为curl之类的工具或在浏览器中进行编辑和重新发送的恶意用户不会尊重客户端的逻辑。
因此,如果您可以通过服务器端验证来构建合理的用户体验,那么是的,不需要客户端验证。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/245982
复制相关文章
相似问题
腾讯云开发者
