网站开发人员必知的62件事.docVIP

网站开发人员必知的62件事 有人在Stack Overflow上发问，动手开发网站之前，需要知道哪些事情？不出意料地，他得到了一大堆回答。 通常情况下，你需要把所有人的发言从头到尾读一遍。但是，Stack Overflow有一个很贴心的设计，它允许在问题下方开设一个wiki区，让所有人共同编辑一个最佳答案。于是，就有了下面这篇文章，一共总结出六个方面共计62条“网站开发须知”。 我发现，这种概述性的问题，最适合这种集合群智、头脑风暴式的回答方式了。这也是我第一次觉得，Stack Overflow做到了Wikipedia做不到的事。（难怪它最近挤进了全美前400大网站。） 在我的印象中，关于网站开发，这样全面的概述性文章非常少见，因此也就非常有用。大家不妨看看，62件事情中你做到了多少？ 界面和用户体验（Interface and User Experience） * ● 知道各大浏览器执行Web标准的情况，保证你的站点在主要浏览器上都能正常运行。你至少要测试以下引擎：Gecko（用于Firefox）、Webkit（用于Safari、Chrome和一些手机浏览器）、IE（你可以利用微软发布的Application Compatibility VPC Images进行测试）和Opera。同时，不同的操作系统，可能也会影响浏览器如何呈现你的网站。 * ● 除了浏览器，网站还有其他使用方式：手机、屏幕朗读器、搜索引擎等等。你应该知道在这些情况下，你的网站的运行状况。MobiForge提供了手机网站开发的一些相关知识。 * ● 知道如何在基本不影响用户使用的情况下升级网站。通常来说，你必须有版本控制系统（CVS、Subversion、Git等等）和数据备份机制（backup）。 * ● 不要让用户看到那些不友好的出错提示。 * ● 不要直接显示用户的Email地址，至少不要用纯文本显示。 * ● 为你的网站设置一些合理的使用限制，一旦超过门槛值，就自动停止服务。（这也与网站安全相关。） * ● 知道如何实现网页的渐进式增强（progressive enhancement）。 * ● 用户发出POST请求后，总是将其重导向（redirect）至另外一个网页。 * ● 不要忘记网站的可访问性（accessibility，即残疾人如何使用网站）。对于美国网站来说，有时这是法定要求。WAI-ARIA有一些这方面很好的参考资料。 安全性（Security） * ● 阅读《OWASP开发指南》，它提供了全面的网站安全指导。 * ● 了解SQL注入（SQL injection）及其预防方法。 * ● 永远不要信任用户提交的数据（cookie也是用户端提交的！）。 * ● 不要明文（plain-text）储存用户的密码，要hash处理后再储存。 * ● 不要对你的用户认证系统太自信，它可能很容易就被攻破，而你事先根本没意识到存在相关漏洞。 * ● 了解如何处理信用卡。 * ● 在登录页面及其他处理敏感信息的页面，使用SSL/HTTPS。 * ● 知道如何对付session劫持（session hijacking）。 * ● 避免跨站点执行（cross site scripting，XSS）。 * ● 避免跨域伪造请求（cross site request forgeries，XSRF）。 * ● 及时打上补丁，让你的系统始终跟上最新版本。 * ● 确认你的数据库连接信息的安全性。 * ● 跟踪攻击技术的最新发展，以及你使用的平台的最新安全漏洞。 * ● 阅读Google的《浏览器安全手册》（Browser Security Handbook）。 * ● 阅读《网络软件的黑客手册》（The Web Application Hackers Handbook）。 性能（Performance） * ● 只要有可能，就使用缓存（caching）。正确理解和使用HTTP caching与HTML5离线储存。 * ● 优化图片。不要把一个20KB的图片文件，作为重复出现的网页背景图案。 * ● 学习如何用gzip/deflate压缩内容（deflate方式更可取）。 * ● 将多个样式表文件或脚本文件，合为一个文件，这样可以