正确的 HTML5 表单验证

Question

我正在使用 HTML5 创建一个简单的<form>。只是想确保我没有丢失和安全漏洞。我对攻击了解不多，但我认为消息字段必须有更多内容，因为几乎可以在其中输入任何内容。我可以仅限于文本，但认为这可能不是非常用户友好。

是否有人可以输入任何类型的 250 个字符？可以用它做任何有害的事情吗？

<form id="contact_form_id" method="POST" action="" name="contact_form">   
   <input class="contact_single_line" type="text" id="fname" name="fname" minlength="2" maxlength="25" required type="text" onkeypress="return isAlpha(event)"></input>
   <input class="contact_single_line" type="text" id="lname" name="lname" minlength="2" maxlength="25" required type="text" onkeypress="return isAlpha(event)"></input>
   <input class="contact_single_line" type="email" id="email" name="email" minlength="3" maxlength="45" required placeholder="Enter a valid email address" TextMode="email" required data-errormessage-type-mismatch="Invalid!"></input>
   <textarea id="message" name="message" minlength="2" maxlength="250" required></textarea>
   <input type="submit" name="submit" id="contact_submit_btn" value="SUBMIT"></input>
</form>

同样使用这个 isAlpha 函数作为备份。不确定我已经拥有的 HTML5 验证器是否有必要

function isAlpha (evt) {
    var theEvent = evt || window.event;
    var key = theEvent.keyCode || theEvent.which;
    key = String.fromCharCode (key);
    var regex = /[A-Za-z_ ]|\./;
    if ( !regex.test(key) ) {
      theEvent.returnValue = false;
      if(theEvent.preventDefault) theEvent.preventDefault();
    }
  }

Answer 1

客户端验证（HTML 5 或 JavaScript）仅用于改善访问者的体验——任何攻击者都可以轻松绕过它。它用于警告访问者他们输入的内容是错误的，然后再将其提交给服务器。

如果您想担心安全性，那么您需要在服务器端进行，并且它需要与您正在处理的数据相关联。

Answer 2

限制 html 表单中的最大长度并不能阻止攻击者伪造虚假提交 - 这对发送到您的服务器的内容没有任何限制。因此，它根本没有安全价值。您必须检查服务器中收到的所有数据，您必须考虑到这可能很危险。这不是一件容易的事。