Wäre schön, vielleicht baue ich die Limits auch mal ein. … Die JSON-Datei liegt halt im public-Ordner und der ist ja, wie der Name schon sagt, öffentlich.

Also wenn Du eine clientseitige Validierung durchführst gehen die Regeln dafür so, so oder so online. Es ist ergo egal, ob Du diese in der JSON-Datei oder sonstwo notierst.

BTW: Dich hindert nichts daran, serverseitig vollständig parametrisierte JS-„Funktionen“ zu generieren, statt die JSON-Datei explizit zu laden, denn PHP kann beliebigen Text, also auch Javascript (sogar Binarys) erzeugen. Du musst halt nur den korrekten Content-Type senden. In den Fall würde ich das Ergebnis serverseitig cachen (anhand des Änderungsdatums der JSON-Datei) und auch gleich gepackt ausliefern.