前端验证仅提升体验、不可替代后端校验;必须用服务端如express-validator或Pydantic做最终校验;HTML5原生属性+reportValidity()最简高效;setCustomValidity()是唯一自定义提示方式;复杂规则应封装为纯函数并在blur时校验。
JavaScript 表单验证只是前端拦截,不能替代后端校验
前端验证的唯一作用是提升用户体验、减少无效请求。它完全不可靠——用户禁用 JS、绕过表单直接发请求、用 Postman 或 curl 提交任意数据,都能轻松跳过所有 onsubmit、addEventListener('input') 或 checkValidity() 逻辑。
真正起效的校验永远在服务端:比如 Node.js 的 express-validator、Python 的 Pydantic 模型、PHP 的 filter_var() 等。前端验证只是“提前告诉用户哪里填错了”,不是“阻止错误数据进来”。
用原生 HTML5 表单属性 + reportValidity() 最省事也最兼容
不需要写一堆正则或监听事件,直接用浏览器内置能力即可覆盖大部分基础场景:
-
required、type="email"、minlength="6"、pattern="^[a-z0-9_]+$"这些属性会自动触发 UI 提示(如红色边框、气泡) - 提交前手动调用
form.reportValidity()可强制触发全部校验,返回true或false,比自己遍历elements判断validity.valid更稳妥 - 注意:
pattern不带^和$时默认是“包含匹配”,要写成pattern="^[a-z]+$"才表示“整个值必须全小写字母”
setCustomValidity() 是唯一能覆盖原生提示文本的方式
浏览器默认提示(如“请填写此字段”“请输入一个电子邮件地址”)无法用 CSS 或属性修改。只有通过 JS 调用 setCustomValidity() 才能自定义错误消息,并且它会覆盖所有其他校验状态:
- 传空字符串
input.setCustomValidity('')表示“校验通过” - 传非空字符串
input.setCustomValidity('用户名已被占用')表示“校验失败”,此时input.checkValidity()返回false - 必须在每次输入后重新调用,否则旧错误信息会残留;常见做法是在
input或blur事件里重置 + 重检 - 不要只依赖这个做异步校验(如检查用户名是否已存在),因为
setCustomValidity()是同步的,异步结果回来时用户可能早已离开该字段
复杂规则建议封装成独立函数,别堆在事件监听里
比如密码强度(含大小写字母+数字+特殊符号,至少 8 位)、身份证号校验、手机号归属地判断等,硬塞进 oninput 容易失控。更可控的做法是:
- 把校验逻辑抽成纯函数,例如
isValidIdCard(value)或passwordStrength(value) - 在
blur时执行一次完整校验,在input时只做简单长度/格式提示(避免频繁卡顿) - 对异步校验(如用户名可用性),用
disabled禁用提交按钮 + 加载态,而不是靠setCustomValidity临时占位 - 避免在
submit事件里再跑一遍复杂校验——如果前面没做,这里补做也晚了;如果前面做了,重复执行只是浪费
真正
容易被忽略的是:很多人以为加了前端验证就“安全了”,结果测试时只在正常流程点点点,漏掉直接 POST 表单、删掉 disabled 属性、清空 value 后提交等边界情况。只要后端没校验,前端做得再漂亮也没用。
