網站開(kāi)發(fā)細節告訴你動手開(kāi)發(fā)網站之前,需要知道(dào)哪些事(shì)情?
有人在Stack Overflow上發(fā)問,動手開(kāi)發(fā)網站之前,需要知道(dào)哪些事(shì)情?
不出意料地,他得到了一大堆回答。
通常情況下,你需要把所有人的發(fā)言從頭到尾讀一遍。但是,Stack Overflow有一個很貼心的設計,它允許在問題下方開(kāi)設一個wiki區,讓所有人共同編輯一個最佳答案。于是,就有了下面(miàn)這(zhè)篇文章,一共總結出六個方面(miàn)共計61條"網站開(kāi)發(fā)須知"。
我發(fā)現,這(zhè)種(zhǒng)概述性的問題,最适合這(zhè)種(zhǒng)集合群智、頭腦風暴式的回答方式了。這(zhè)也是我第一次覺得,Stack Overflow做到了Wikipedia做不到的事(shì)。(難怪它最近擠進(jìn)了全美前400大網站。)
在我的印象中,關于網站開(kāi)發(fā),這(zhè)樣(yàng)全面(miàn)的概述性文章非常少見,因此也就非常有用。大家不妨看看,61件事(shì)情中你做到了多少?
一、界面(miàn)和用戶體驗(Interface and User Experience)
1.1知道(dào)各大浏覽器執行Web标準的情況,保證你的站點在主要浏覽器上都(dōu)能(néng)正常運行。你至少要測試以下引擎:Gecko(用于Firefox)、Webkit(用于Safari、Chrome和一些手機浏覽器)、IE(你可以利用微軟發(fā)布的Application Compatibility VPC Images進(jìn)行測試)和Opera。同時,不同的操作系統,可能(néng)也會影響浏覽器如何呈現你的網站。
1.2除了浏覽器,網站還(hái)有其他使用方式:手機、屏幕朗讀器、搜索引擎等等。你應該知道(dào)在這(zhè)些情況下,你的網站的運行狀況。MobiForge提供了手機網站開(kāi)發(fā)的一些相關知識。
1.3知道(dào)如何在基本不影響用戶使用的情況下升級網站。通常來說,你必須有版本控制系統(CVS、Subversion、Git等等)和數據備份機制(backup)。
1.4不要讓用戶看到那些不友好(hǎo)的出錯提示。
1.5不要直接顯示用戶的Email地址,至少不要用純文本顯示。
1.6爲你的網站設置一些合理的使用限制,一旦超過(guò)門檻值,就自動停止服務。(這(zhè)也與網站安全相關。)
1.7知道(dào)如何實現網頁的漸進(jìn)式增強(progressive enhancement)。
1.8用戶發(fā)出POST請求後(hòu),總是將(jiāng)其重導向(xiàng)(redirect)至另外一個網頁。
1.9不要忘記網站的可訪問性(accessibility,即殘疾人如何使用網站)。對(duì)于美國(guó)網站來說,有時這(zhè)是法定要求。WAI-ARIA有一些這(zhè)方面(miàn)很好(hǎo)的參考資料。
二、安全性(Security)
2.1閱讀《OWASP開(kāi)發(fā)指南》,它提供了全面(miàn)的網站安全指導。
2.2了解SQL注入(SQL injection)及其預防方法。
2.3永遠不要信任用戶提交的數據(cookie也是用戶端提交的!)。
2.4不要明文(plain-text)儲存用戶的密碼,要hash處理後(hòu)再儲存。
2.5不要對(duì)你的用戶認證系統太自信,它可能(néng)很容易就被(bèi)攻破,而你事(shì)先根本沒(méi)意識到存在相關漏洞。
2.6了解如何處理信用卡。
2.7在登錄頁面(miàn)及其他處理敏感信息的頁面(miàn),使用SSL/HTTPS。
2.8知道(dào)如何對(duì)付session劫持(session hijacking)。
2.9避免"跨站點執行"(cross site scripting,XSS)。
2.10避免"跨域僞造請求"(cross site request forgeries,XSRF)。
2.11及時打上補丁,讓你的系統始終跟上最新版本。
2.12确認你的數據庫連接信息的安全性。
2.13跟蹤攻擊技術的最新發(fā)展,以及你使用的平台的最新安全漏洞。
2.14閱讀Google的《浏覽器安全手冊》(Browser Security Handbook)。
2.15閱讀《網絡軟件的黑客手冊》(The Web Application Hackers Handbook)。
三、性能(néng)(Performance)
3.1隻要有可能(néng),就使用緩存(caching)。正确理解和使用HTTP caching與HTML5離線儲存。
3.2優化圖片。不要把一個20KB的圖片文件,作爲重複出現的網頁背景圖案。
3.3學(xué)習如何用gzip/deflate壓縮内容(deflate方式更可取)。
3.4將(jiāng)多個樣(yàng)式表文件或腳本文件,合爲一個文件,這(zhè)樣(yàng)可以減少浏覽器的http請求數,以及減小gzip壓縮後(hòu)的文件總體積。
3.5浏覽Yahoo的Exceptional Performance網站,裡(lǐ)面(miàn)有大量提升前端性能(néng)的優秀建議,還(hái)有他們的YSlow工具。Google的page speed則是另一個用來分析網頁性能(néng)的工具。兩(liǎng)者都(dōu)要求安裝Firebug。
3.6如果你的網頁用到大量的小體積圖片(比如工具欄),就應該使用CSS Image Sprite,目的是減少http請求數。
3.7大流量的網站應該考慮將(jiāng)網頁對(duì)象分散在多個域名(split components across domains)。
3.8靜态内容(比如圖片、CSS、JavaScript、以及其他cookie無關的網頁内容)都(dōu)應該放在一個不需要使用cookie的獨立域名之上。因爲域名之下如果有cookie,那麼(me)客戶端向(xiàng)該域名發(fā)出的每次http請求,都(dōu)會附上cookie内容。這(zhè)裡(lǐ)的一個好(hǎo)方法就是使用"内容分發(fā)網絡"(Content Delivery Network,CDN)。
3.9將(jiāng)浏覽器完成(chéng)網頁渲染所需要的http請求數最小化。
3.10使用Google的Closure Compiler壓縮JavaScript文件,YUI Compressor亦可。
3.11确保網站根目錄下有favicon.ico文件,因爲即使網頁中根本不包括這(zhè)個文件,浏覽器也會自動發(fā)出對(duì)它的請求。所以如果這(zhè)個文件不存在,就會産生大量的404錯誤,消耗光你的服務器的帶寬。
四、搜索引擎優化(Search Engine Optimization,SEO)
4.1使用"搜索引擎友好(hǎo)"的URL形式,比如example.com/pages/45-article-title,而不是index5.html。
4.2不要使用"點擊這(zhè)裡(lǐ)"之類的超級鏈接,因爲這(zhè)樣(yàng)等于浪費了一個SEO機會,而且降低了"屏幕朗讀器"(screen reader)的使用效果。
4.3創建一個XML sitemap文件,它的缺省位置一般是/sitemap.xml(即放在網站根目錄下)。
4.4當你有多個URL指向(xiàng)同一個内容時,在網頁代碼中使用<link rel="canonical" ... />。
4.5使用Google的Webmaster Tools和Yahoo的Site Explorer。
4.6從一開(kāi)始就使用Google Analytics(或者開(kāi)源的訪問量分析工具Piwik)。
4.7知道(dào)robots.txt的作用,以及搜索引擎蜘蛛的工作原理。
4.8將(jiāng)www.example.com的訪問請求導向(xiàng)example.com(使用301 Moved Permanently重定向(xiàng)),或者采用相反的做法,目的是防止Google把它們當做兩(liǎng)個網站,分開(kāi)計算排名。
4.9知道(dào)存在著(zhe)惡意或行爲不正當的網絡蜘蛛。
4.10如果你的網站有非文本的内容(比如視頻、音頻等等),你應該參考Google的sitemap擴展協議。
五、技術(Technology)
5.1理解HTTP協議,以及諸如GET、POST、sessions、cookies之類的概念,包括"無狀态"(stateless)是什麼(me)意思。
5.2确保你的XHTML/HTML和CSS符合W3C标準,使得它們能(néng)夠通過(guò)檢驗。這(zhè)可以使你的網頁避免觸發(fā)浏覽器的古怪行爲(quirk),而且使它在"屏幕朗讀器"和手機上也能(néng)正常工作。
5.3理解浏覽器如何處理JavaScript腳本。
5.4理解網頁上的JavaScript文件、樣(yàng)式表文件和其他資源是如何裝載及運行的,考慮它們對(duì)頁面(miàn)性能(néng)有何影響。在某些情況下,可能(néng)應該將(jiāng)腳本文件放置在網頁的尾部。
5.5理解JavaScript沙箱(Javascript sandbox)的工作原理,尤其是如果你打算使用iframe。
5.6知道(dào)JavaScript可能(néng)無法使用或被(bèi)禁用,以及Ajax并不是一定會運行。記住,"不允許腳本運行"(NoScript)正在某些用戶中變得流行,手機浏覽器對(duì)腳本的支持千差萬别,而Google索引網頁時不運行大部分的腳本文件。
5.7了解301重定向(xiàng)和302重定向(xiàng)之間的區别(這(zhè)也是一個SEO相關問題)。
5.8盡可能(néng)多得了解你的部署平台(deployment platform)。
5.9考慮使用樣(yàng)式表重置(Reset Style Sheet)。
5.10考慮使用JavaScript框架(比如jQuery、MooTools、Prototype),它們可以使你不用考慮浏覽器之間的差異。
六、解決bug
6.1理解程序員20%的時間用于編碼,80%的時間用于維護,根據這(zhè)一點相應安排時間。
6.2建立一個有效的錯誤報告機制。
6.3建立某些途徑或系統,讓用戶可以與你接觸,向(xiàng)你提出建議和批評。
6.4爲將(jiāng)來的維護和客服人員撰寫文檔,解釋清楚系統是怎麼(me)運行的。
6.5經(jīng)常備份!(并且确保這(zhè)些備份是有效的。)除了備份機制,你還(hái)必須有一個恢複機制。
6.6使用某種(zhǒng)版本控制系統儲存你的文件,比如Subversion或Git。
6.7不要忘記做單元測試(Unit Testing),Selenium之類的框架會對(duì)你有用。
本文系轉載,原文地址:http://www.ruanyifeng.com/blog/2010/11/61_things_every_web_developer_should_know.html。
