Executando verificação de segurança...
1

Nos dois!

Nem todo usuário é bem intencionado, ou sabe o que precisa fazer.
Valide sempre nas duas pontas, aliás valide sempre que um dado trafegar de uma entidade para outra.

Usuário digitou input, valida!
O dado chegou na controller, valida!
o backend enviou algo pra sua Api, valida!
Requisição pra escrever no banco, valida....

e por ai vai...

Carregando publicação patrocinada...