哪个最好——客户端验证还是服务器端验证?
【问题讨论】:
服务器端验证是必须的,因为客户端验证可以被篡改。但是,客户端验证通常会提供更好的用户体验,因为它需要更少的回发。所以我建议同时使用。
【讨论】:
您必须进行服务器端验证。否则任何人都可以发送他们喜欢的任何内容(考虑禁用 JavaScript 的浏览器,或自定义的假浏览器)。
客户端站点验证可用于提供更好的用户体验,但如果它不可用,您应该正确操作。
【讨论】:
为了安全:
服务器端验证。
精明的客户可以删除验证。
为了获得最佳 GUI 体验:
客户端验证。
【讨论】:
对于 ASP.NET 中的验证目的,两者都很好,但这取决于应用程序。出于安全考虑,服务器端验证是最好的,但它会增加服务器的开销,所以我们通常避免在不必要的时候使用服务器端验证。
客户端验证通常最适合检查输入类型参数,它在客户端的检查意味着在您的浏览器上,因此它不会给服务器带来负载,并且花费的时间更少且不安全。
在我看来,客户端验证是最好的。
【讨论】:
我建议仅使用 AJAX 进行服务器端验证。
正如其他人所指出的,服务器端验证是必须的,因为客户端验证可以被篡改。
除了服务器端验证之外,我曾参与过使用客户端验证的项目,我相信这在服务器上会更容易并提供更好的用户体验。虽然它工作得很好,但它的代价是违反了 DRY(不要重复自己)原则并冒着不一致的服务器/客户端验证实现的风险(注意:我很久以前就放弃了内置的 ASP.NET 验证器)。
从那时起,我发现在实践中,您可以通过使用 Ajax 执行所有 POSTS 来获得几乎一样好的用户体验:如果服务器上的验证成功,则继续执行 POST 的主要目的(保存数据或其他内容) ,并返回成功的 JSON 响应并调用成功回调以导航到另一个页面或其他内容。如果验证失败,则返回包含失败字段和消息的 JSON 响应,并调用失败回调以显示它们。
假设您注意精简您的 POST(我知道这是 ASP.NET 中的一种刻意练习),那么这个策略通常对您的服务器来说已经足够友好了。
【讨论】: