No hay forma de limitar un textarea en HTML.
Sabiendo esto, la única forma de limitarlos es:
- Por un lado, limitar la entrada en el servidor, es decir, poner algún validador en la lógica del servidor (java, php, etc.) que controle el limite y genere algún error en caso de que se exceda
- Por otro lado, utilizar javascript para ayudar al usuario a controlar el límite en el navegador.
Existen varios scripts para limitar la entada de caracteres en un textarea, por ejemplo, éste código y demo en The Javascript Source.
En cualquier caso, siempre hay que controlar también la limitación en el servidor para aquellos navegadores que no tienen javascript por razones de accesibilidad.
Más información, en How to limit the number of characters entered in a textarea in an HTML form, en inglés.
De hecho, yo llevo mucho mucho tiempo hablando de que cualquier validación que se haga en el cliente, es necesario realizarla en el servidor... y mucha gente me mira con cara rara!! [asombro]
Lo que mucha gente debería hacer, creo, es cambir el chip y empezar a pensar en validar siempre en el servidor, y como añadido, a fin de hacer más usable la aplicación, permitir validaciones en el cliente.
A fin de cuentas, yo puedo crearme un cliente de pega que llame a tu servidor, o deshabilitar el javascript o lo que sea, y si no validas en el servidor, tu vulnerabilidad estará en entredicho, ¿no?
A mi eso siempre me parecio muy raro y algo paranoico. Hasta que vi lo facil que es hacerlo con extensiones del firefox o con programas como IETamper. Lo de crear un cliente de pega, aún existen páginas en las que se puede trampear el precio de compra por culpa de las validaciones de cliente. No cecesitas más que cambiarlos parametros del post que se le mandadn al formulario con los métodos que he comentado.
Ya que sale el tema quería preguntar si alguién lo sabe la validación proveniente del commons-validator de struts(o del framework) que se hace a traves del validation.xml, es de servidor o javascript. En el curos del Framework no lo tenián muy claro y me dijerón que era atraves del servidor utilizando el validator-rules.xml como "motor" javascript. Aunque no lo tenián muy claro alguien me lo puede confirmar.
Por lo poco que he visto del Framework, creo que puedo asegurar que es una validación en el servidor y creo que también en el cliente.
Y desde luego, cualquier empresa que quiera hacer un trabajo serio y de una calidad mínima debe validar TODO en el servidor. Hay que tener en cuenta, sobre todo en java, que las aplicaciones tienen que estar diseñadas para ser utilizadas por cualquier tipo de aplicación, ya sea web, cliente en java, un web services, etc.
No validar en el servidor es un error grave de seguridad además porque, como muchos sabemos, los hackers aprovechan los errores de programación para hacer de las suyas. Delegar la validación en el cliente (javascritp) es un error fácilmente aprovechable por un hacker con tan sólo desactivar javascript o crear un pequeño programa.
Como siempre, javascript debe entenderse como un complemento que puede facilitar la navegación al usuario.