需要JavaScript时，服务器端验证失败时不显示错误可以吗？

Question

我们有一个绝对需要 JavaScript 才能运行的表单，并且验证是在客户端完成的。验证也在服务器端执行，但是当服务器端验证失败时让它显示错误将是一项巨大的工作量。

既然用户不可能没有 JavaScript，那么仅仅因为 HTTP 错误而失败可以吗？他们无法通过服务器端验证的唯一原因是他们要么是恶意用户，要么无法使用 JavaScript，在这种情况下他们无论如何也不会使用该表单。

谢谢

Answer 1

我说这很好，除了某类错误。

某些验证错误并非出于恶意，只是在实际处理表单之外的任何其他时间都无法检查和发现。这可能是因为需要保留但无法保留的稀缺资源（“此用户名已在使用中”），或者是由于某些服务器端可恢复错误（“上游信用卡处理器没有响应。请重试”）之后”）。对于这些类型的错误，您绝对应该将某种错误消息传达给用户。很难想象有一种设计不可能将此类错误发回。至少您可以这样做：

1. 发送您的 HTTP 错误响应（4xx 或 5xx，具体取决于错误的性质）
2. 在响应正文中，将错误消息打包为您的 javascript 可以轻松理解的某种数据结构。 （JSON 或 XML，甚至是文本/纯文本！记住设置 mime 类型。）
3. 让 javascript 请求的错误处理程序将错误文本插入表单中的可见位置（例如，在顶部或提交附近）按钮）。

然而，最重要的是进行服务器端验证而不是信任客户端。您已经在这样做了，因此如果您想进一步做任何事情，那就需要进行完善并尽可能提供最佳的用户体验。有时这需要付出不成比例的努力，但这没关系。

Answer 2

我个人觉得还好。

特别是如果使用该网站的前一步在没有 Javascript 的情况下也根本无法工作，因此用户在没有 Javascript 的情况下无法进入相关页面，那么在没有 Javascript 的情况下使其工作的巨额费用就是浪费精力。例如，在 .Net Web 表单中，登录需要 Javascript，因此在我看来，网站安全区域内的任何页面都可以假设 Javascript 可用。

不过，我很好奇其他人的想法。

Answer 3

如果 http 请求失败的唯一预期用例是有人绕过浏览器，那么仅仅使 http 请求失败似乎就完全没问题了。您不会影响任何预期的用户场景，但仍然通过服务器端验证来保护服务器端完整性。做更多的工作是没有意义的。对我来说似乎不错。

如果存在实际的合法用户场景，其中错误数据会传输到服务器，那么值得做更多工作来显示来自服务器的错误 UI。但是，既然您认为合理的场景不太可能或不可能发生，那么就没有理由做额外的工作。

Answer 4

只要您确定客户端验证和服务器端验证是等效的就可以了。在这一点上，我发现保持客户端验证代码和服务器端验证代码同步很麻烦（特别是如果它们是用不同语言编写的，如果您不使用node.js或GWt，情况总是如此） ）。如果有人有任何解决方案那就太好了。

但是，如果某些验证只能在服务器端执行（例如数据库唯一性约束），那么向用户显示其客户端操作已失败就很重要。但这取决于应用程序本身。