客户端验证:
好处是快,对客户来说比较友好,通过js或VB来进行本地验证,不用把这个过程提交到服务器,比如说一个注册页面,填好注册信息后,你点击提交按钮,那么它没有跳转就提示你填写有误,这一过程一般很快,返回时页面也不晃动,但如果用服务器端验证,你填好后,可能会跳到另一页面,返回得很慢,中间有可能有一段空白时段,返回后页面出现重写或晃动返回
服务器端验证:
好处是安全,利于保存客户重要信息。
测试先看信息重要程度看有无服务器端验证的必要,需要服务器端验证的如果没有验证就是个bug
测试checklist--绕过前端JS验证
方法一: 将页面保存到自己机器上,然后把脚本检查的地方去掉,最后在自己机器上运行那个页面就可以了
方法二: 该方式与方法一类似一样,只是将引入js的语句删掉,或则将引入的js后缀名更换成任意的名字,就OK
方法三: 在浏览器地址栏中直接输入请求URL及参数,发送get请求,就可以了
方法四: 在浏览器设置中,设置禁用脚本
如果在禁用脚本或去掉客户端验证的代码后,以登录为例,什么都不输入,直接登录,结果登录成功。这就是服务器不验证带来的安全隐患。