按照正常的观点来说,我们是绝对不能够相信前端来的数据,但是例如表单提交,我前端js要验证过,后端又要验证过,验证的东西少还好,一多(规则复杂)就麻烦了,有没有什么办法确保前端数据一定合法,或者后端只要简单验证下就好(就是有点像表单令牌那玩意,虽然他是用来防止重复提交)
后台一定要校验的,因为可以通过模拟的方式向后端发送请求,这样就跳过了前端的验证
有没有什么办法确保前端数据一定合法
那就要确保后端收到的数据一定是来自校验过的前端,这个在Web上很难做到
所以呢,你写校验的时候问前端要一份他们写的校验代码,改一改(微笑)
使用框架,如yii,
每个表单在model层定义一个Form模型,里面定义一些rules方法。自带很多校验规则,如邮箱,字符串长度,枚举等等。当然特殊规则也可以自己定义。
防止重复提交或者机器模拟提交最好的办法还是加验证码。
有没有什么办法确保前端数据一定合法,或者后端只要简单验证下就好
题主也说了绝对不能相信前端的数据,那么前端做了任何效验,后端也需要做保持一致的效验。
前端校验只是提升用户体验而已,后端校验才是必须要做的。
关于你这个问题,可以搜一下前后端同构这个话题,大意做法就是利用nodejs做中间层,把前端的校验代码在nodejs也部署一套,避免后端(这里的后端是指与nodejs通信的后端,而不是nodejs本身)再重新实现一遍校验逻辑。
就算前端做的校验再怎么好。后端还是要保证完整的校验。而不能简单的验证一下。
你不能保证发送数据的人就是通过你的那套校验发送数据的。
另外,前端校验也算是提升一下用户体验。