Global Validation

Global Validation 技能为应用程序处理外部数据注入提供了标准化框架。此技能专为开发人员与自动化代理设计，强制执行多层次防御策略，确保安全性不会仅依赖于客户端检测。通过推广使用白名单而非黑名单，以及严格的类型检查，能有效最小化 SQL 注入、XSS 及指令注入等常见漏洞的攻击面。

• 将服务器端验证标准化，作为所有 API 端点、表单及数据处理管线的唯一事实来源。

• 通过互补的客户端验证函数库（如 Zod、Yup 或 Joi）提供即时的用户反馈。

• 促进电子邮件、电话号码、日期与其他结构化输入的统一清理与格式化。

• 强制执行严格的业务规则逻辑，包括范围检查、必填字段与基于状态的完整性约束。

• 支持系统化的错误处理，确保 API 响应与 UI 组件能返回描述性且针对字段的验证失败消息。

• 请务必在每个入口点执行验证：网页界面、公开/私有 API 及后台作业队列。

• 优先使用明确的白名单来定义可允许的数据模式，并在数据到达存储层或业务逻辑层之前尽早拒绝无效数据。

• 使用基于架构 (schema-based) 的验证工具，在各个服务间定义一致的数据模型。

• 在实现业务规则（例如库存检查或余额验证）时，请确保这些验证在服务器端执行，以防止遭受篡改。

• 维持一致的错误处理模式，以提升调试效率与用户体验，同时避免在生产环境中泄露过多的敏感信息。