ユーザーはいたずら好きで、機会があればあらゆる種類のナンセンスなデータを送信します。彼らが混乱を引き起こすのを防ぐには、フォームデータを検証することが重要です。
最初の防御線は、ブラウザの組み込みフォームバリデーションで、例えば、<input>を必須としてマークするのが簡単です。
<form method="POST" action="?/create">
<label>
add a todo
<input
name="description"
autocomplete="off"
required
/>
</label>
</form><input>が空の状態でEnterキーを押してみてください。
この種の検証は役立ちますが、不十分です。一部の検証ルール(例えば、一意性)は、<input>属性を使用して表現することはできません。また、いずれにせよ、ユーザーがエリートハッカーであれば、ブラウザの開発ツールを使用して属性を簡単に削除する可能性があります。これらの種類の不正行為を防ぐために、常にサーバーサイドの検証を使用する必要があります。
src/lib/server/database.jsで、説明が存在し、一意であることを検証します。
export function createTodo(userid, description) {
if (description === '') {
throw new Error('todo must have a description');
}
const todos = db.get(userid);
if (todos.find((todo) => todo.description === description)) {
throw new Error('todos must be unique');
}
todos.push({
id: crypto.randomUUID(),
description,
done: false
});
}重複したTODOを送信してみてください。まずい! SvelteKitは、フレンドリーではないエラーページに移動します。サーバーでは、「TODOは一意でなければなりません」というエラーが表示されますが、SvelteKitは、機密データが含まれていることが多いため、予期しないエラーメッセージをユーザーに表示しません。
ユーザーが修正できるように、同じページにとどまり、何が問題だったのかを示す方がはるかに良いでしょう。これを行うには、fail関数を使用して、適切なHTTPステータスコードとともにアクションからデータを返すことができます。
import { fail } from '@sveltejs/kit';
import * as db from '$lib/server/database.js';
export function load({ cookies }) {...}
export const actions = {
create: async ({ cookies, request }) => {
const data = await request.formData();
try {
db.createTodo(cookies.get('userid'), data.get('description'));
} catch (error) {
return fail(422, {
description: data.get('description'),
error: error.message
});
}
}src/routes/+page.svelteでは、フォーム送信後にのみ入力されるformプロパティを介して、返された値にアクセスできます。
<script>
let { data, form } = $props();
</script>
<div class="centered">
<h1>todos</h1>
{#if form?.error}
<p class="error">{form.error}</p>
{/if}
<form method="POST" action="?/create">
<label>
add a todo:
<input
name="description"
value={form?.description ?? ''}
autocomplete="off"
required
/>
</label>
</form>
failでラップせずに、アクションからデータを返すこともできます。例えば、データが保存されたときに「成功!」メッセージを表示するなどです。これはformプロパティから利用できます。
<script>
let { data } = $props();</script>
<div class="centered">
<h1>todos</h1>
<form method="POST" action="?/create">
<label>
add a todo:
<input
name="description"
autocomplete="off"
/>
</label>
</form>
<ul class="todos">
{#each data.todos as todo (todo.id)}<li>
<form method="POST" action="?/delete">
<input type="hidden" name="id" value={todo.id} /> <span>{todo.description}</span><button aria-label="Mark as complete"></button>
</form>
</li>
{/each}</ul>
</div>
<style>
.centered {max-width: 20em;
margin: 0 auto;
}
label {width: 100%;
}
input {flex: 1;
}
span {flex: 1;
}
button {border: none;
background: url(./remove.svg) no-repeat 50% 50%;
background-size: 1rem 1rem;
cursor: pointer;
height: 100%;
aspect-ratio: 1;
opacity: 0.5;
transition: opacity 0.2s;
}
button:hover {opacity: 1;
}
.saving {opacity: 0.5;
}
</style>