网站开发人员应该知道的62件事37280

1、近日，有人在Stack Overflow上发表提问“动手开发网站之前，需要知道哪些事情？”，众多人给出了不同的答案，同时所有人根据Stack Overflow问题下面的wiki区对众多答案进行了编辑，总结出62条网站开发人员应该知道的事。Web技术开发者阮一峰把这62条答案进行了翻译，现转载于此，全文如下：1. 界面和用户体验（Interface and User Experience） 知道各大浏览器执行Web标准的情况，保证你的站点在主要浏览器上都能正常运行。你至少要测试以下引擎：Gecko（用于Firefox）、Webkit（用于Safari、Chrome和一些手机浏览器）、IE（你可以

2、利用微软发布的Application Compatibility VPC Images进行测试）和Opera。同时，不同的操作系统，可能也会影响浏览器如何呈现你的网站。 除了浏览器，网站还有其他使用方式：手机、屏幕朗读器、搜索引擎等等。你应该知道在这些情况下，你的网站的运行状况。MobiForge提供了手机网站开发的一些相关知识。 知道如何在基本不影响用户使用的情况下升级网站。通常来说，你必须有版本控制系统（CVS、Subversion、Git等等）和数据备份机制（backup）。 不要让用户看到那些不友好的出错提示。 不要直接显示用户的Email地址，至少不要用纯文本显示。 为你的网站设置一

3、些合理的使用限制，一旦超过门槛值，就自动停止服务。（这也与网站安全相关。） 知道如何实现网页的渐进式增强（progressive enhancement）。 用户发出POST请求后，总是将其重导向（redirect）至另外一个网页。 不要忘记网站的可访问性（accessibility，即残疾人如何使用网站）。对于美国网站来说，有时这是法定要求。WAI-ARIA有一些这方面很好的参考资料。2. 安全性（Security） 阅读OWASP开发指南，它提供了全面的网站安全指导。 了解SQL注入（SQL injection）及其预防方法。 永远不要信任用户提交的数据（cookie也是用户端提交的！）。

4、 不要明文（plain-text）储存用户的密码，要hash处理后再储存。 不要对你的用户认证系统太自信，它可能很容易就被攻破，而你事先根本没意识到存在相关漏洞。 了解如何处理信用卡。 在登录页面及其他处理敏感信息的页面，使用SSL/HTTPS。 知道如何对付session劫持（session hijacking）。 避免跨站点执行（cross site scripting，XSS）。 避免跨域伪造请求（cross site request forgeries，XSRF）。 及时打上补丁，让你的系统始终跟上最新版本。 确认你的数据库连接信息的安全性。 跟踪攻击技术的最新发展，以及你使用的平台的

5、最新安全漏洞。 阅读Google的浏览器安全手册（Browser Security Handbook）。 阅读网络软件的黑客手册（The Web Application Hackers Handbook）。3. 性能（Performance） 只要有可能，就使用缓存（caching）。正确理解和使用HTTP caching与HTML5离线储存。 优化图片。不要把一个20KB的图片文件，作为重复出现的网页背景图案。 学习如何用gzip/deflate压缩内容（deflate方式更可取）。 将多个样式表文件或脚本文件，合为一个文件，这样可以减少浏览器的http请求数，以及减小gzip压缩后的文件总

6、体积。 浏览Yahoo的Exceptional Performance网站，里面有大量提升前端性能的优秀建议，还有他们的YSlow工具。Google的page speed则是另一个用来分析网页性能的工具。两者都要求安装Firebug。 如果你的网页用到大量的小体积图片（比如工具栏），就应该使用CSS Image Sprite，目的是减少http请求数。 大流量的网站应该考虑将网页对象分散在多个域名（split components across domains）。 静态内容（比如图片、CSS、JavaScript、以及其他cookie无关的网页内容）都应该放在一个不需要使用cookie的独立域

7、名之上。因为域名之下如果有cookie，那么客户端向该域名发出的每次http请求，都会附上cookie内容。这里的一个好方法就是使用内容分发网络（Content Delivery Network，CDN）。 将浏览器完成网页渲染所需要的http请求数最小化。 使用Google的Closure Compiler压缩JavaScript文件，YUI Compressor亦可。 确保网站根目录下有favicon.ico文件，因为即使网页中根本不包括这个文件，浏览器也会自动发出对它的请求。所以如果这个文件不存在，就会产生大量的404错误，消耗光你的服务器的带宽。4. 搜索引擎优化（Search Eng

8、ine Optimization，SEO） 使用搜索引擎友好的URL形式，比如 不要使用点击这里之类的超级链接，因为这样等于浪费了一个SEO机会，而且降低了屏幕朗读器（screen reader）的使用效果。 创建一个XML sitemap文件，它的缺省位置一般是/sitemap.xml（即放在网站根目录下）。 当你有多个URL指向同一个内容时，在网页代码中使用。 使用Google的Webmaster Tools和Yahoo的Site Explorer。 从一开始就使用Google Analytics（或者开源的访问量分析工具Piwik）。 知道robots.txt的作用，以及搜索引擎蜘蛛的工

9、作原理。 将的访问请求导向（使用301 Moved Permanently重定向），或者采用相反的做法，目的是防止Google把它们当做两个网站，分开计算排名。 知道存在着恶意或行为不正当的网络蜘蛛。 如果你的网站有非文本的内容（比如视频、音频等等），你应该参考Google的sitemap扩展协议。5. 技术（Technology） 理解HTTP协议，以及诸如GET、POST、sessions、cookies之类的概念，包括无状态（stateless）是什么意思。 确保你的XHTML/HTML和CSS符合W3C标准，使得它们能够通过检验。这可以使你的网页避免触发浏览器的古怪行为（quirk），

10、而且使它在屏幕朗读器和手机上也能正常工作。 理解浏览器如何处理JavaScript脚本。 理解网页上的JavaScript文件、样式表文件和其他资源是如何装载及运行的，考虑它们对页面性能有何影响。在某些情况下，可能应该将脚本文件放置在网页的尾部。 理解JavaScript沙箱（Javascript sandbox）的工作原理，尤其是如果你打算使用iframe。 知道JavaScript可能无法使用或被禁用，以及Ajax并不是一定会运行。记住，不允许脚本运行（NoScript）正在某些用户中变得流行，手机浏览器对脚本的支持千差万别，而Google索引网页时不运行大部分的脚本文件。 了解301重定向和302重定向之间的区别（这也是一个SEO相关问题）。 尽可能多得了解你的部署平台（deployment platform）。 考虑使用样式表重置（Reset Style Sheet）。 考虑使用JavaScript框架（比如jQuery、MooTools、Prototype），它们可以使你不用考虑浏览器之间的差异。6. 解决Bug 理解程序员20%的时间用于编码，80%的时间用于维护，根据这一点相应安排时间。 建立一个有效的错误报告机制。 建立某些途径或系统