Ao proteger um formulário de comentário e um endpoint de API relacionado, a entrada deve ser higienizada, validada e codificada no navegador, servidor ou ambos?
Você deve sempre ter certeza de que todos os dados que você usa são higienizados no backend antes do uso!