Java 客户端验证怀疑

我从其中一个博客上读到，出于安全考虑，建议这样做 在服务器端而不是客户端进行输入数据验证

从上面的陈述中，我开始思考 1） 我可以在客户端对JS进行什么样的验证。 2） 是否有任何程序员可以决定在哪里执行验证的规则，无论是在客户端还是服务器端

---

我正在构建基于Java的web应用程序

如果用户禁用javascript，您的验证将不会在客户端进行，而在另一端，只有服务器端验证意味着用户必须等待调用结束（客户端到服务器，然后返回），这可能会让他感到沮丧

---

客户端验证是为了让用户感到高兴，这样他就不必等待太多时间才能看到他拼错了邮件地址。

我认为主要的一点是，在服务器端，你应该是偏执狂，不要假设传递给你的数据已经被客户端正确验证。客户端可能是旧版本，无法正确验证某些内容，或者验证可能被禁用，或者请求甚至可能来自破解程序，试图破坏系统

---

当然，验证的一部分（或全部）也可以在客户端执行，以避免无用的网络流量并减少延迟。

您可以在客户端执行任何类型的验证，但决不能依赖于该验证

出于用户界面的目的，在客户机上进行验证通常是一个好主意，因为响应时间更快。但由于用户始终可以关闭客户端验证（例如，通过关闭JavaScript），因此您决不能依赖它来实际执行并在服务器上重新验证您的输入

---

一般来说，如果检查对安全性至关重要，不要在用户可以控制的系统上进行检查。

那么，当黑客用他们喜欢的javascript替换您的javascript，或者只是简单地提交帖子，然后就好像它是您的代码一样，会发生什么

在客户端验证是一个可用性问题。

在使用点进行验证是一个安全问题。

例如，在存储到SQL数据库之前，您需要根据SQL注入对数据进行验证——如果您选择了一个好的数据库，库将为您进行验证。当您将数据显示为HTML时，可以根据CSS验证数据。但是，如果您将数据以XML、RSS或JSON的形式公开，那么验证就不同了——如果您仅在输入时对其进行验证，就不会阻止对其他格式的利用，并且您的输入例程将与您选择的输出格式相关联

规则：-

---

客户验证可以很容易地规避。您应该始终验证服务器上的敏感数据，而不考虑客户端验证。在客户端验证它们也只是一个改善用户体验的问题。

客户端验证只是为了节省客户端时间，因此当它们输入无效值时，它会显示“坏值”，而无需重新加载页面

但客户端验证应视为无验证，因为客户端可以禁用此验证并输入错误值

---

服务器应始终验证输入的数据。客户端验证仅用于可用性。

客户端如何禁用验证？你能告诉我Firefox允许你在浏览器中禁用Javascript吗。