Зачем использовать @Valid весной MVC, когда HTML5 Проверка существует

Question

Зачем использовать аннотацию @valid, если на странице существует проверка HTML5?

Мы могли бы сосредоточиться на бизнес-логике c вместо добавления дополнительных контроллеров для проверки. Это потому, что есть какие-то ошибки при использовании веб-страниц?

Answer 1

Сервер не может зависеть от проверки клиента,

Если пользователь использует старую страницу без проверки или пользователь отправит запрос на сервер напрямую (или пользователь будет манипулировать HTML как комментарий @Chris),

Тогда проверка не будет проведена, а

Проверка сервера обеспечит сохранение целостности ваших данных

Это также предотвратит злонамеренные атаки в виде SQL внедрения (если вы не ' например, используя PrepareStatement)

Answer 2

Фактический запрос на отправку данных может быть перехвачен, захвачен, изменен и воспроизведен. Во время воспроизведения злонамеренный пользователь может изменить тело запроса, чтобы предоставить только любые данные, которые он sh. Независимо от технологии и инфраструктуры внешнего интерфейса, ваш внутренний сервер в конечном итоге получит запрос данных. То, как вы относитесь к содержанию этого запроса, имеет значение. Вот почему каждый бит данных, представленных вашим пользователем, должен быть проверен на вашем сервере.

TLDR ;: Никогда не доверяйте данным, представленным пользователем.