Mientras leía ASVS 3.0.1, encontré el requisito V5.18:
Verifique que la validación del lado del cliente se use como una segunda línea de defensa, además de la validación del lado del servidor.
Umm ... ¿no se dice que la validación del lado del cliente no tiene ningún beneficio de seguridad?
Quiero decir, como una función de conveniencia para alertar a los usuarios de una entrada no deseada, sí, ¿pero como un requisito de seguridad? ¿Me he perdido algo?