Global Validation

Global Validation 技能為應用程式處理外部資料注入提供了標準化框架。此技能專為開發人員與自動化代理設計，強制執行多層次防禦策略，確保安全性不會僅依賴於用戶端檢測。透過推廣使用白名單而非黑名單，以及嚴格的型別檢查，能有效最小化 SQL 注入、XSS 及指令注入等常見漏洞的攻擊面。

• 將伺服器端驗證標準化，作為所有 API 端點、表單及資料處理管線的唯一事實來源。

• 透過互補的用戶端驗證函式庫（如 Zod、Yup 或 Joi）提供即時的用戶回饋。

• 促進電子郵件、電話號碼、日期與其他結構化輸入的一致性清理與格式化。

• 強制執行嚴格的業務規則邏輯，包括範圍檢查、必填欄位與基於狀態的完整性約束。

• 支援系統化的錯誤處理，確保 API 回應與 UI 組件能回傳描述性且針對欄位的驗證失敗訊息。

• 請務必在每個入口點執行驗證：網頁介面、公開/私有 API 及背景作業佇列。

• 優先使用明確的白名單來定義可允許的資料模式，並在資料到達儲存層或業務邏輯層之前儘早拒絕無效資料。

• 使用基於架構 (schema-based) 的驗證工具，在各個服務間定義一致的資料模型。

• 在實作業務規則（例如庫存檢查或餘額驗證）時，請確保這些驗證在伺服器端執行，以防止遭受竄改。

• 維持一致的錯誤處理模式，以提升除錯效率與用戶體驗，同時避免在生產環境中洩漏過多的敏感資訊。