ASP.NET 中输入验证的最佳实践？

Question

输入验证的常见做法是什么？换句话说，您是否在客户端、服务器端或两侧检查输入验证？

另外，如果性能对我来说至关重要，那么仅客户端输入验证就足以满足我的网站的需求，而不会带来任何安全风险吗？

Answer 1

始终至少执行服务器端验证。如果您想改善用户体验，客户端验证可能会很好。它还可以让您避免向服务器发出不必要的请求。

仅客户端验证是不够的，可以通过禁用 JavaScript 等轻松绕过。

我建议您始终从添加服务器端验证开始，一旦测试完毕，您就可以启用客户端验证。

Answer 2

不要依赖客户端验证！！！
它只适合诚实的用户。不诚实的用户可以立即绕过它。

如果我关闭 Javascript，我就可以把你的应用程序搞砸。 并不难

始终将服务器端验证放入... Web 表单

''# VB
If Page.isValid Then
    ''# submit your data
End If

// C#
if(Page.isValid) {
    // submit your data
}

MVC

''# VB
If ModelState.IsValid Then
    ''# submit your data
End If

// C#
if(ModelState.IsValid) {
    // submit your data
}

一旦服务器端验证正常运行，就可以继续添加客户端验证。它将为用户带来更好的体验

Answer 3

我建议的一件事是使用 FluentValidation, xVal 和 JQuery 一起执行客户端和服务器端验证基于相同的规则。

FluentValidation 是一个基于规则的框架，用于在服务器端验证 .net 对象。它附带了 xVal 的规则提供程序，这是另一个允许您链接您选择的服务器的框架端和客户端验证框架。它支持在客户端生成 JQuery 验证器

Answer 4

一般是两侧。客户端很容易被有意或无意地绕过（随着 noscript 的流行），但出于可用性原因值得拥有。

至于是否存在安全风险。您使用用户输入的目的是什么以及验证的当前性质是什么？

如果只是检查某人是否填写了表单中的必填字段，则可能不太可能存在安全风险。

Answer 5

至少需要使用服务器端验证，因为客户端验证很容易被绕过。

如果您想获得更好的用户体验，也可以使用客户端验证。
这也提高了性能，因为它减少了对服务器的 HTTP 请求数量，因为无效的表单不会发送到服务器。

Answer 6

最常见的是同时使用客户端和服务器端验证。

仅客户端输入验证就足以满足我的网站的要求，且不会带来任何安全风险吗？

不，您也应该使用服务器端验证。使用（例如）firebug 删除客户端验证非常简单。显然，在删除客户端验证后，作恶者可以将任何数据发送到服务器。因此，服务器端验证也是非常需要的。