Ogólnie jest to zadanie strony serwerowej ale głównie powinno być przeprowadzone w momencie dodawania czegoś do serwera/bazy/itp, po prostu tych danych nie powinno tam być dlatego serwer w odpowiedzi wysyła wszytko to co "ma" tak długo jeśli spełnia to wymogi API (odpowiedni format itp).
Po za tym, klient przed wrzuceniem danych na serwer też może zrobić sprawdzenie ale główne obciążenie powinno być po stronie serwera.
Dlatego jeśli obawiasz się, że takie dane mogą dostać się do serwera to zabezpiecz jego wejście (API wejściowe) oraz jeśli istnieje podejrzenie, że już tam są to zrób skrypty/kod który sprawdzi aktualny stan serwera i poinformuje lub usunie te dane.
Dodatkowo jeśli chcesz mieć jakiś mechanizm zabezpieczający na wyjściu API tak jak piszesz to możesz sobie zrobić jakieś filtry, które w zależności od tego co chcesz, zablokują te dane i poinformują operatora o potrzebie sprawdzenia, lub tylko wstawią log, do późniejszej analizy itp. ale jest to dodatkowy mechanizm, zasadniczo powinno się sprawdzać dane wejściowe.