为什么后端要写 form，前端直接写好 form 再传不是很方便么

不写 form，怎么接收前端表单传的数据？
如果你说的是后端来定义 form 的样式，这个是之前历史需要，现在基本不用。

@xiaolinjia 接收 request 对象不可以么

@Achilless flask 我用的少就先不论。dj 的话，form 类主要有两个功能，1 是验证数据，2 是前端生成表单（这个上面已经说了是历史产物了，现在基本不用）。
那说回 1，接收数据，直接从 request.POST 或者 request.body 里接收确实可以，但是还要另外写验证，就很麻烦。如果用 form 类的话，首先在 model 里能定义一些字段约束，并且 form 类里还能定义 clean_xx 方法来验证。这些验证，只需要调用 form.is_valid()。然后 form.cleaned_data，就可以获取到验证通过的数据，因为框架帮你写好了。
而如果你直接取，那就是 a = request.POST.get('a')，if 验证(a): xxxxx 。b = request.POST.get('b')，if 验证(b): xxxxx 。这样写不麻烦吗？

@xiaolinjia 我验证 form 都是在前端写好再传的。。觉得比写 form.py 轻松许多，所以怀疑后端设计 form 的意义

楼主的意思是既然前端的定义数据格式，不理解为啥后端还要再定义一次？后端开发要默认前端传输的数据都是不可信的，必须自定义好格式并验证。

做后端就要有 前端所有数据都不可信 的心态

@Achilless 不要相信前端传来的数据，所有验证一定要在后端做好。前端的验证只是为了提高用户体验的。

遇到不理解的设计先提问 是个好习惯

前端验证是提高用户体验，减少无效请求的
后端验证是防错防攻击

前端代码是公开的，所有请求都是可以伪造的，不可信任前端传来的数据

@Achilless 你前端 js 验证的话，某种程度上是可以防止那些操作浏览器的正经用户乱输。那我直接 postman 请求接口，不是把你前端绕过了，那我后端还要不要验证啊。
或者说，我直接 request 库向 api 接口发请求 post 数据，有经过你的前端表单？

一般来说前端的 From 是可以像你说的。不过前端的数据毕竟不可信，验证也只是防君子。想做坏事的成本可太低了。

你前端搞好了，传给后端的时候黑客把数据包一截，爱怎么改怎么改。
功能是没问题的，安全性太低了。

@Achilless 只做前端验证是不够的。

1.像上面说的那样完全可以用 postman 等工具直接请求你的接口，往接口里写入一堆对业务会造成极大干扰的数据。
2.前端的代码是可以被修改的（比如网页，我去掉前端的验证表单的 js 代码，直接请求就可以了）
3.网络传输的不可靠，如果采用明文传输，在中间过程中可以被修改。

前段验证在程序员眼中==没有

面向黑客编程？

前端的数据一定要像 女人的嘴骗人的鬼 那样对待

django-drf,表单验证默秒全

出于安全考虑，后端应该把所有接收的输入再验证一遍。并且有一些数据的有效性是只有后端才知道的。

我的经验理解是前端验证是软验证，更多的是防止用户无恶意的错误填写，和规范数据格式。
就像某扇门上贴着非请勿入的一纸告示，但门本身没上锁。