Walidacja - po stronie klienta czy serwera?

Question

Witam, powiedzmy, że mam formularz rejestracji użytkownika i chcę sprawdzić, czy wprowadzone hasło spełnia jakieś tam warunki. Czy lepiej będzie sprawdzić to po stronie serwera (AJAX), czy może lepiej po stronie klienta (skrypt JavaScriptu reagujący na wysłanie formularza plus walidacja _token po stronie serwera)? Czy mógłby ktoś wyjaśnić, kiedy lepiej stosować pierwszą, a kiedy drugą z tych metod?

Answer 1

Stosuje się obie naraz. Walidacja po stronie JS-a zapewnia o wiele lepszy UX (user od razu wie, co jest źle), a walidacja po stronie serwera – bezpieczeństwo.

Comments

Dziękuję, mam jeszcze pytanie: czy w przypadku rejestracji walidacja danych po stronie JS-a i walidacja tokena CSRF przez serwer jest wystarczająco bezpieczna, czy może lepiej jeszcze raz dokonać walidacji danych po stronie serwera?

---

Zawsze waliduje się dane po stronie serwera. Co za problem zostawić dobry token, ale podstawić złośliwe dane?

---

A w jaki sposób można to zrobić?

---

Podstawić? Choćby cURL-em.

---

Jeszcze dwa pytania:

1) Skoro tak łatwo można podstawić token, to jak w takim razie bronić się przed CSRF?

2) Czy użycie AJAXa daje wystarczające dobry UX, czy może lepiej napisać wstępną walidację w JS?

---

ad. 1) Nigdzie nie napisałem o podstawianiu tokena a o podstawianiu złośliwych danych + zostawianiu poprawnego tokena.

ad. 2) Ajax daje pewne opóźnienie, osobiście walidowałbym w samym JS-ie.

---

Czy dobrze rozumiem: mogę z mojego komputera wysłać złośliwe dane na serwer wraz z poprawnym tokenem za pomocą cURL, omijając walidację w JS?

---

Tak.

---

Dziękuję.