第4章 Struts 2输入校验

输入校验分为客户端校验和服务器端校验。客户端校验可以过滤掉用户的错误操作，是第一道防线，一般使用JavaScript代码实现。仅有客户端验证还是不够的。攻击者还可以绕过客户端校验直接进行非法输入，这样可能会引起系统的异常，所以必须加上服务器端的验证。但仅有服务器端验证也是不行的，客户的错误操作总是提交到服务器，由服务器端进行验证返回错误信息，这样会加重服务器的负担。因此客户端验证和服务器端验证缺一不可，两者结合起来才可以构建健壮的系统。