sem类网站开发及运营人员必须知道的细节.docVIP

SEM类网站开发人员知道一、界面和用户体验（Interface and User Experience） 1.1 知道各大浏览器执行Web标准的情况，保证你的站点在主要浏览器上都能正常运行。你至少要测试以下引擎：Gecko（用于Firefox）、Webkit（用于Safari、Chrome和一些手机浏览器）、IE（你可以利用微软发布的Application Compatibility VPC Images进行测试）和Opera。同时，不同的操作系统，可能也会影响浏览器如何呈现你的网站。 1.2 除了浏览器，网站还有其他使用方式：手机、屏幕朗读器、搜索引擎等等。你应该知道在这些情况下，你的网站的运行状况。MobiForge提供了手机网站开发的一些相关知识。 1.3 知道如何在基本不影响用户使用的情况下升级网站。通常来说，你必须有版本控制系统（CVS、Subversion、Git等等）和数据备份机制（backup）。 1.4 不要让用户看到那些不友好的出错提示。 1.5 不要直接显示用户的Email地址，至少不要用纯文本显示。 1.6 为你的网站设置一些合理的使用限制，一旦超过门槛值，就自动停止服务。（这也与网站安全相关。） 1.7 知道如何实现网页的渐进式增强（progressive enhancement）。 1.8 用户发出POST请求后，总是将其重导向（redirect）至另外一个网页。 1.9 不要忘记网站的可访问性（accessibility，即残疾人如何使用网站）。对于美国网站来说，有时这是法定要求。WAI-ARIA有一些这方面很好的参考资料。 二、安全性（Security） 2.1 阅读《OWASP开发指南》，它提供了全面的网站安全指导。 2.2 了解SQL注入（SQL injection）及其预防方法。 2.3 永远不要信任用户提交的数据（cookie也是用户端提交的！）。 2.4 不要明文（plain-text）储存用户的密码，要hash处理后再储存。 2.5 不要对你的用户认证系统太自信，它可能很容易就被攻破，而你事先根本没意识到存在相关漏洞。 2.6 了解如何处理信用卡。 2.7 在登录页面及其他处理敏感信息的页面，使用SSL/HTTPS。 2.8 知道如何对付session劫持（session hijacking）。 2.9 避免跨站点执行（cross site scripting，XSS）。 2.10 避免跨域伪造请求（cross site request forgeries，XSRF）。 2.11 及时打上补丁，让你的系统始终跟上最新版本。 2.12 确认你的数据库连接信息的安全性。 2.13 跟踪攻击技术的最新发展，以及你使用的平台的最新安全漏洞。 2.14 阅读Google的《浏览器安全手册》（Browser Security Handbook）。 2.15 阅读《网络软件的黑客手册》（The Web Application Hackers Handbook）。 三、性能（Performance） 3.1 只要有可能，就使用缓存（caching）。正确理解和使用HTTP caching与HTML5离线储存。 3.2 优化图片。不要把一个20KB的图片文件，作为重复出现的网页背景图案。 3.3 学习如何用gzip/deflate压缩内容（deflate方式更可取）。 3.4 将多个样式表文件或脚本文件，合为一个文件，这样可以减少浏览器的http请求数，以及减小gzip压缩后的文件总体积。 3.5 浏览Yahoo的Exceptional Performance网站，里面有大量提升前端性能的优秀建议，还有他们的YSlow工具。Google的page speed则是另一个用来分析网页性能的工具。两者都要求安装Firebug。 3.6 如果你的网页用到大量的小体积图片（比如工具栏），就应该使用CSS Image Sprite，目的是减少http请求数。 3.7 大流量的网站应该考虑将网页对象分散在多个域名（split components across domains）。 3.8 静态内容（比如图片、CSS、JavaScript、以及其他cookie无关的网页内容）都应该放在一个不需要使用cookie的独立域名之上。因为域名之下如果有cookie，那么客户端向该域名发出的每次http请求，都会附上cookie内容。这里的一个好方法就是使用内容分发网络（Content Delivery Network，CDN）。 3.9 将浏览器完成网页渲染所需要的http请求数最小化。 3.10 使用Google的Closure Compiler压缩JavaScript文件，YUI Compressor亦可。 3.11