Warum reicht es nicht, ein Formular nur im Frontend zu prüfen?
Alles, was im Browser läuft, ist manipulierbar. Mit der Entwicklerkonsole oder direkten Requests kann jeder die Prüfung umgehen. Client-Validierung ist Komfort, Server-Validierung ist Sicherheit. Beides kann sinnvoll sein, aber Sicherheit darf nie nur vorne liegen.
Eine der häufigsten Lücken bei Tools, die schnell mit KI-Coding gebaut wurden. Der Agent baut ein Formular, das im Browser prüft, ob Pflichtfelder gesetzt sind, ob die E-Mail gültig aussieht, ob das Datum im richtigen Format ist. Das sieht gut aus und läuft in der Demo. Trotzdem ist das Formular ungeschützt.
Warum Browser-Prüfungen nicht genug sind
Der Browser gehört dem Nutzer. Er kann die Entwicklerkonsole öffnen, JavaScript anhalten, Feldwerte überschreiben. Oder er umgeht das Formular ganz und schickt den Request direkt an den Server. Jede Prüfung, die nur im Frontend existiert, ist ausschaltbar.
Das echte Risiko
Nimm ein Feedback-Formular: Frontend prüft, dass eine gültige E-Mail drin ist. Jemand manipuliert den Request und sendet leere Felder, doppelte Einträge, oder Hunderte automatisierte Antworten in wenigen Sekunden. Dein Backend nimmt alles entgegen, weil es davon ausgeht, das Frontend hätte schon geprüft.
Die klare Regel
Client-Validierung ist Komfort: Der Nutzer sieht sofort, wenn er etwas falsch gemacht hat. Sie darf sein, sie muss es nicht.
Server-Validierung ist Sicherheit: Das Backend prüft jede Anfrage noch einmal selbst. Sie muss sein, immer.
Was das für dich bedeutet
Wenn der Agent eine Validierung baut, frage nach: Ist das im Frontend, im Backend, oder beides? Für Komfort-Prüfungen reicht Frontend. Für alles, was Sicherheit betrifft (Rechte, Beträge, Pflichtfelder, die nicht umgangen werden dürfen), muss es zusätzlich im Backend stehen.