很多人在動手開發網站之前都喜歡問,“我需要知道哪些事情?”每個開發者的答案可能都不太相同,通常情況下,你需要把所有人的發言從頭到尾讀一遍。但是,Stack Overflow有一個很貼心的設計,它允許在問題下方開設一個wiki區,讓所有人共同編輯一個最佳答案。於是,就有了下面這篇文章,一共總結出六個方面共計61條"網站開發須知"。
關於網站開發,這樣全面的概述性文章非常少見,因此也就非常有用。大家不妨看看,61件事情中你做到了多少?
一、界面和用戶體驗
1.知道各大瀏覽器執行Web標準的情況,保證你的站點在主要瀏覽器上都能正常運行。你至少要測試以下引擎:Gecko(用於Firefox)、Webkit(用於Safari、Chrome和一些手機瀏覽器)、IE(你可以利用微軟發佈的Application Compatibility VPC Images進行測試)和Opera。同時,不同的操作系統,可能也會影響瀏覽器如何呈現你的網站。
2.除了瀏覽器,網站還有其他使用方式:手機、屏幕朗讀器、搜索引擎等等。你應該知道在這些情況下,你的網站的運行狀況。MobiForge提供了手機網站開發的一些相關知識。
3.知道如何在基本不影響用戶使用的情況下升級網站。通常來說,你必須有版本控制系統(CVS、Subversion、Git等等)和數據備份機制(backup)。
4.不要讓用戶看到那些不友好的出錯提示。
5.不要直接顯示用戶的Email地址,至少不要用純文本顯示。
6.爲你的網站設置一些合理的使用限制,一旦超過門檻值,就自動停止服務。(這也與網站安全相關。)
7.知道如何實現網頁的漸進式增強(progressive enhancement)。
8.用戶發出POST請求後,總是將其重導向(redirect)至另外一個網頁。
9.不要忘記網站的可訪問性(accessibility,即殘疾人如何使用網站)。對於美國網站來說,有時這是法定要求。WAI-ARIA有一些這方面很好的參考資料。
二、安全性
1.閱讀《OWASP開發指南》,它提供了全面的網站安全指導。
2.瞭解SQL注入(SQL injection)及其預防方法。
3.永遠不要信任用戶提交的數據(cookie也是用戶端提交的!)。
4.不要明文(plain-text)儲存用戶的密碼,要hash處理後再儲存。
5.不要對你的用戶認證系統太自信,它可能很容易就被攻破,而你事先根本沒意識到存在相關漏洞。
6.瞭解如何處理信用卡。
7.在登錄頁面及其他處理敏感信息的頁面,使用SSL/HTTPS。
8.知道如何對付session劫持(session hijacking)。
9.避免"跨站點執行"(cross site scripting,XSS)。
10.避免"跨域僞造請求"(cross site request forgeries,XSRF)。
11.及時打上補丁,讓你的系統始終跟上最新版本。
12.確認你的數據庫連接信息的安全性。
13.跟蹤攻擊技術的最新發展,以及你使用的平臺的最新安全漏洞。
14.閱讀Google的《瀏覽器安全手冊》。
15.閱讀《網絡軟件的黑客手冊》。
三、性能(Performance)
1.只要有可能,就使用緩存(caching)。正確理解和使用HTTP caching與HTML5離線儲存。
2.優化圖片。不要把一個20KB的圖片文件,作爲重複出現的網頁背景圖案。
3.學習如何用gzip/deflate壓縮內容(deflate方式更可取)。
4.將多個樣式表文件或腳本文件,合爲一個文件,這樣可以減少瀏覽器的http請求數,以及減小gzip壓縮後的文件總體積。
5.瀏覽Yahoo的Exceptional Performance網站,裏面有大量提升前端性能的優秀建議,還有他們的YSlow工具。Google的page speed則是另一個用來分析網頁性能的工具。兩者都要求安裝Firebug。
6.如果你的網頁用到大量的小體積圖片(比如工具欄),就應該使用CSS Image Sprite,目的是減少http請求數。
7.大流量的網站應該考慮將網頁對象分散在多個域名(split components across domains)。
8.靜態內容(比如圖片、CSS、JavaScript、以及其他cookie無關的網頁內容)都應該放在一個不需要使用cookie的獨立域名之上。因爲域名之下如果有cookie,那麼客戶端向該域名發出的每次http請求,都會附上cookie內容。這裏的一個好方法就是使用"內容分發網絡"(Content Delivery Network,CDN)。
9.將瀏覽器完成網頁渲染所需要的http請求數最小化。
10.使用Google的Closure Compiler壓縮JavaScript文件,YUI Compressor亦可。
11.確保網站根目錄下有favicon.ico文件,因爲即使網頁中根本不包括這個文件,瀏覽器也會自動發出對它的請求。所以如果這個文件不存在,就會產生大量的404錯誤,消耗光你的服務器的帶寬。
四、搜索引擎優化
1.使用"搜索引擎友好"的URL形式,比如example.com/pages/45-article-title,而不是example.com/index.php?page=45。
2.不要使用"點擊這裏"之類的超級鏈接,因爲這樣等於浪費了一個SEO機會,而且降低了"屏幕朗讀器"(screen reader)的使用效果。
3.創建一個XML sitemap文件,它的缺省位置一般是/sitemap.xml(即放在網站根目錄下)。
4.當你有多個URL指向同一個內容時,在網頁代碼中使用 。
5.使用Google的Webmaster Tools和Yahoo的Site Explorer。
6.從一開始就使用Google Analytics(或者開源的訪問量分析工具Piwik)。
7.知道robots.txt的作用,以及搜索引擎蜘蛛的工作原理。
8.將www.example.com的訪問請求導向example.com(使用301 Moved Permanently重定向),或者採用相反的做法,目的是防止Google把它們當做兩個網站,分開計算排名。
9.知道存在着惡意或行爲不正當的網絡蜘蛛。
10.如果你的網站有非文本的內容(比如視頻、音頻等等),你應該參考Google的sitemap擴展協議。
五、技術(Technology)
1.理解HTTP協議,以及諸如GET、POST、sessions、cookies之類的概念,包括"無狀態"(stateless)是什麼意思。
2.確保你的XHTML/HTML和CSS符合W3C標準,使得它們能夠通過檢驗。這可以使你的網頁避免觸發瀏覽器的古怪行爲(quirk),而且使它在"屏幕朗讀器"和手機上也能正常工作。
3.理解瀏覽器如何處理JavaScript腳本。
4.理解網頁上的JavaScript文件、樣式表文件和其他資源是如何裝載及運行的,考慮它們對頁面性能有何影響。在某些情況下,可能應該將腳本文件放置在網頁的尾部。
5.理解JavaScript沙箱(Javascript sandbox)的工作原理,尤其是如果你打算使用iframe。
6.知道JavaScript可能無法使用或被禁用,以及Ajax並不是一定會運行。記住,"不允許腳本運行"(NoScript)正在某些用戶中變得流行,手機瀏覽器對腳本的支持千差萬別,而Google索引網頁時不運行大部分的腳本文件。
7.瞭解301重定向和302重定向之間的區別(這也是一個SEO相關問題)。
8.儘可能多得了解你的部署平臺(deployment platform)。
9.考慮使用樣式表重置(Reset Style Sheet)。
10.考慮使用JavaScript框架(比如jQuery、MooTools、Prototype),它們可以使你不用考慮瀏覽器之間的差異。
六、解決bug
1.理解程序員20%的時間用於編碼,80%的時間用於維護,根據這一點相應安排時間。
2.建立一個有效的錯誤報告機制。
3.建立某些途徑或系統,讓用戶可以與你接觸,向你提出建議和批評。
4.爲將來的維護和客服人員撰寫文檔,解釋清楚系統是怎麼運行的。
5.經常備份!(並且確保這些備份是有效的。)除了備份機制,你還必須有一個恢復機制。
6.使用某種版本控制系統儲存你的文件,比如Subversion或Git。
7.不要忘記做單元測試(Unit Testing),Selenium之類的框架會對你有用。