Al proteger un formulario de comentarios y un punto final de API relacionado, ¿debe desinfectarse, validarse y codificarse la entrada en el navegador, el servidor o ambos?

¡Siempre debe asegurarse de que todos los datos que usa estén desinfectados en el backend antes de su uso!

Consulte https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html