问要求客户端验证的OWASP ASVS？

EN

好吧，对我在ASVS邮件列表上的问题的回答说明了这个问题。就我个人而言，我认为以下两点是最有力的论据：

1. 虽然可以绕过客户端验证，但它有助于检测攻击。例如，假设有一个长度限制为10位的输入字段。如果这应该是客户端验证，并且应用程序接收到更长的内容或包含非数字的字符串，那么(从模糊的意义上说)事情正在发生。
2. 具有大量JavaScript的应用程序可以修改DOM，而实际上服务器从未看到其中的一些输入需要这样做。直到那时，我才意识到as缺乏关于客户端测试的专门章节(如测试指南所示)。

是的，客户端验证可以被忽略。尽管如此，它仍在增加一些安全性，并将总风险降到最低，即使是以极小的幅度。

能够直接从我的浏览器发出警报，而不是使用代理/扩展，对攻击者来说是一个优势。

下面是一个例子:想想一个经过强化的内部瘦客户机，其中唯一可以使用的就是浏览器(您不能禁用javascript)。如果没有客户端验证，我可以手动利用驻留在生产数据库中的SQLi。