很多人在动手开发网站之前都喜欢问,”我需要知道哪些事情?”每个开发者的答案可能都不太相同,通常情况下,你需要把所有人的发言从头到尾读一遍. 但是,Stack  Overflow有一个很贴心的设计,它允许在问题下方开设一个wiki区,让所有人共同编辑一个最佳答案.于是,就有了下面这篇文章,一共总结出六个方 面共计61条”网站开发须知”.

关于网站开发,这样全面的概述性文章非常少见,因此也就非常有用.大家不妨看看,61件事情中你做到了多少?

一、界面和用户体验

1.知道各大浏览器执行Web标准的情况,保证你的站点在主要浏览器上都能正常运行.你至少要测试以下引擎:Gecko(用于Firefox)、 Webkit(用于Safari、Chrome和一些手机浏览器)、IE(你可以利用微软发布的Application Compatibility  VPC Images进行测试)和Opera.同时,不同的操作系统,可能也会影响浏览器如何呈现你的网站.

2.除了浏览器,网站还有其他使用方式:手机、屏幕朗读器、搜索引擎等等.你应该知道在这些情况下,你的网站的运行状况.MobiForge提供了手机网站开发的一些相关知识.

3.知道如何在基本不影响用户使用的情况下升级网站.通常来说,你必须有版本控制系统(CVS、Subversion、Git等等)和数据备份机制(backup).

4.不要让用户看到那些不友好的出错提示.

5.不要直接显示用户的Email地址,至少不要用纯文本显示.

6.为你的网站设置一些合理的使用限制,一旦超过门槛值,就自动停止服务.(这也与网站安全相关.)

7.知道如何实现网页的渐进式增强(progressive enhancement).

8.用户发出POST请求后,总是将其重导向(redirect)至另外一个网页.

9.不要忘记网站的可访问性(accessibility,即残疾人如何使用网站).对于美国网站来说,有时这是法定要求.WAI-ARIA有一些这方面很好的参考资料.

二、安全性

1.阅读《OWASP开发指南》,它提供了全面的网站安全指导.

2.了解SQL注入(SQL injection)及其预防方法.

3.永远不要信任用户提交的数据(cookie也是用户端提交的!).

4.不要明文(plain-text)储存用户的密码,要hash处理后再储存.

5.不要对你的用户认证系统太自信,它可能很容易就被攻破,而你事先根本没意识到存在相关漏洞.

6.了解如何处理信用卡.

7.在登录页面及其他处理敏感信息的页面,使用SSL/HTTPS.

8.知道如何对付session劫持(session hijacking).

9.避免”跨站点执行”(cross site scripting,XSS).

10.避免”跨域伪造请求”(cross site request forgeries,XSRF).

11.及时打上补丁,让你的系统始终跟上最新版本.

12.确认你的数据库连接信息的安全性.

13.跟踪攻击技术的最新发展,以及你使用的平台的最新安全漏洞.

14.阅读Google的《浏览器安全手册》.

15.阅读《网络软件的黑客手册》.

三、性能(Performance)

1.只要有可能,就使用缓存(caching).正确理解和使用HTTP caching与HTML5离线储存.

2.优化图片.不要把一个20KB的图片文件,作为重复出现的网页背景图案.

3.学习如何用gzip/deflate压缩内容(deflate方式更可取).

4.将多个样式表文件或脚本文件,合为一个文件,这样可以减少浏览器的http请求数,以及减小gzip压缩后的文件总体积.

5.浏览Yahoo的Exceptional Performance网站,里面有大量提升前端性能的优秀建议,还有他们的YSlow工具.Google的page speed则是另一个用来分析网页性能的工具.两者都要求安装Firebug.

6.如果你的网页用到大量的小体积图片(比如工具栏),就应该使用CSS Image Sprite,目的是减少http请求数.

7.大流量的网站应该考虑将网页对象分散在多个域名(split components across domains).

8.静态内容(比如图片、CSS、JavaScript、以及其他cookie无关的网页内容)都应该放在一个不需要使用cookie的独立域名之 上.因为域名之下如果有cookie,那么客户端向该域名发出的每次http请求,都会附上cookie内容.这里的一个好方法就是使用”内容分发网络” (Content Delivery Network,CDN).

9.将浏览器完成网页渲染所需要的http请求数最小化.

10.使用Google的Closure Compiler压缩JavaScript文件,YUI Compressor亦可.

11.确保网站根目录下有favicon.ico文件,因为即使网页中根本不包括这个文件,浏览器也会自动发出对它的请求.所以如果这个文件不存在,就会产生大量的404错误,消耗光你的服务器的带宽.

四、搜索引擎优化

1.使用”搜索引擎友好”的URL形式,比如example.com/pages/45-article-title,而不是example.com/index.php?page=45.

2.不要使用”点击这里”之类的超级链接,因为这样等于浪费了一个SEO机会,而且降低了”屏幕朗读器”(screen reader)的使用效果.

3.创建一个XML sitemap文件,它的缺省位置一般是/sitemap.xml(即放在网站根目录下).

4.当你有多个URL指向同一个内容时,在网页代码中使用.

5.使用Google的Webmaster Tools和Yahoo的Site Explorer.

6.从一开始就使用Google Analytics(或者开源的访问量分析工具Piwik).

7.知道robots.txt的作用,以及搜索引擎蜘蛛的工作原理.

8.将www.example.com的访问请求导向example.com(使用301 Moved Permanently重定向),或者采用相反的做法,目的是防止Google把它们当做两个网站,分开计算排名.

9.知道存在着恶意或行为不正当的网络蜘蛛.

10.如果你的网站有非文本的内容(比如视频、音频等等),你应该参考Google的sitemap扩展协议.

五、技术(Technology)

1.理解HTTP协议,以及诸如GET、POST、sessions、cookies之类的概念,包括”无状态”(stateless)是什么意思.

2.确保你的XHTML/HTML和CSS符合W3C标准,使得它们能够通过检验.这可以使你的网页避免触发浏览器的古怪行为(quirk),而且使它在”屏幕朗读器”和手机上也能正常工作.

3.理解浏览器如何处理JavaScript脚本.

4.理解网页上的JavaScript文件、样式表文件和其他资源是如何装载及运行的,考虑它们对页面性能有何影响.在某些情况下,可能应该将脚本文件放置在网页的尾部.

5.理解JavaScript沙箱(Javascript sandbox)的工作原理,尤其是如果你打算使用iframe.

6.知道JavaScript可能无法使用或被禁用,以及Ajax并不是一定会运行.记住,”不允许脚本运行”(NoScript)正在某些用户中变得流行,手机浏览器对脚本的支持千差万别,而Google索引网页时不运行大部分的脚本文件.

7.了解301重定向和302重定向之间的区别(这也是一个SEO相关问题).

8.尽可能多得了解你的部署平台(deployment platform).

9.考虑使用样式表重置(Reset Style Sheet).

10.考虑使用JavaScript框架(比如jQuery、MooTools、Prototype),它们可以使你不用考虑浏览器之间的差异.

六、解决bug

1.理解程序员20%的时间用于编码,80%的时间用于维护,根据这一点相应安排时间.

2.建立一个有效的错误报告机制.

3.建立某些途径或系统,让用户可以与你接触,向你提出建议和批评.

4.为将来的维护和客服人员撰写文档,解释清楚系统是怎么运行的.

5.经常备份!(并且确保这些备份是有效的.)除了备份机制,你还必须有一个恢复机制.

6.使用某种版本控制系统储存你的文件,比如Subversion或Git.

7.不要忘记做单元测试(Unit Testing),Selenium之类的框架会对你有用.

版权声明:本文为chenjt原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/chenjt/archive/2013/06/27/3158367.html