Validar != formatar.
Uma formatação básica de tirar um único caracter de uma string? Isso é algo que pode ser tirado na boa do servidor e deixar no cliente.
Os navegadores as vezes não tem uma performance maravilhosa quando há muitas rotinas executando simultaneamente. Isso se consegue com vários ajax que são assíncronos e intervals.
O código pode ser enorme, mas se for executado passo a passo não vai fazer diferença pro usuário.
Se o código é grande demais, ele dificilmente passa dos 100k. Considerando um maravilhoso trabalho de gzip, que pode ser configurado no envio do arquivo, isso vai ser minimo pro usuário que normalmente recebe bem mais do que isso só de imagens.
Eu tive um site que executava uns 15 intervalos diferentes com funções de animações sendo chamadas, quando passei disso, começou a dar uma pirada de leve no firefox, pirando altamente no IE e rodando na boa no Chrome, Safari e Opera.
Rotinas seguidas, não assíncronas, executadas passo a passo dificilmente dao problema.
Segurança não pode ser feita pelo client side, só algo passageiro.
Mas tudo o que puder ser livrado do servidor é bacana. A máquina do usuário está utilizando um acesso do site, é muito poderosa para esse site, enquanto o servidor está processando muita coisa ao mesmo tempo, vários usuários, várias requisições, processamentos, etc.
Por isso que é feita a validação client side: mandar dados pré-validados pro servidor. É claro que vai repetir tudo no servidor, mas pelo menos já corta metade dos dados não validados, pois a maioria não é intencional nem maliciosa.
Muitos dizem que não é preciso, mas isso é uma visão muito miuda do mercado. Quando passam a trabalhar com projetos de alta demanda, começam a não entender: pq está travando?
