近日,有人在Stack Overflow上发表提问“动手开发网站之前,需要知道哪些事情?”,众多人给出了不同的答案,同时所有人根据Stack Overflow问题下面的wiki区对众多答案进行了编辑,总结出62条网站开发人员应该知道的事。Web技术开发者阮一峰把这62条答案进行了翻译,现转载于此,全文如下:
有人在Stack Overflow上发问,动手开发网站之前,需要知道哪些事情?不出意料地,他得到了一大堆回答。
通常情况下,你需要把所有人的发言从头到尾读一遍。但是,Stack Overflow有一个很贴心的设计,它允许在问题下方开设一个wiki区,让所有人共同编辑一个最佳答案。于是,就有了下面这篇文章,一共总结出六个方面共计62条“网站开发须知”。
我发现,这种概述性的问题,最适合这种集合群智、头脑风暴式的回答方式了。这也是我第一次觉得,Stack Overflow做到了Wikipedia做不到的事。(难怪它最近挤进了全美前400大网站。)
在我的印象中,关于网站开发,这样全面的概述性文章非常少见,因此也就非常有用。大家不妨看看,62件事情中你做到了多少?
界面和用户体验(Interface and User Experience)
- 知道各大浏览器执行Web标准的情况,保证你的站点在主要浏览器上都能正常运行。你至少要测试以下引擎:Gecko(用于Firefox)、Webkit(用于Safari、Chrome和一些手机浏览器)、IE(你可以利用微软发布的Application Compatibility VPC Images进行测试)和Opera。同时,不同的操作系统,可能也会影响浏览器如何呈现你的网站。
- 除了浏览器,网站还有其他使用方式:手机、屏幕朗读器、搜索引擎等等。你应该知道在这些情况下,你的网站的运行状况。MobiForge提供了手机网站开发的一些相关知识。
- 知道如何在基本不影响用户使用的情况下升级网站。通常来说,你必须有版本控制系统(CVS、Subversion、Git等等)和数据备份机制(backup)。
- 不要让用户看到那些不友好的出错提示。
- 不要直接显示用户的Email地址,至少不要用纯文本显示。
- 为你的网站设置一些合理的使用限制,一旦超过门槛值,就自动停止服务。(这也与网站安全相关。)
- 知道如何实现网页的渐进式增强(progressive enhancement)。
- 用户发出POST请求后,总是将其重导向(redirect)至另外一个网页。
- 不要忘记网站的可访问性(accessibility,即残疾人如何使用网站)。对于美国网站来说,有时这是法定要求。WAI-ARIA有一些这方面很好的参考资料。
安全性(Security)
- 阅读《OWASP开发指南》,它提供了全面的网站安全指导。
- 了解SQL注入(SQL injection)及其预防方法。
- 永远不要信任用户提交的数据(cookie也是用户端提交的!)。
- 不要明文(plain-text)储存用户的密码,要hash处理后再储存。
- 不要对你的用户认证系统太自信,它可能很容易就被攻破,而你事先根本没意识到存在相关漏洞。
- 了解如何处理信用卡。
- 在登录页面及其他处理敏感信息的页面,使用SSL/HTTPS。
- 知道如何对付session劫持(session hijacking)。
- 避免"跨站点执行"(cross site scripting,XSS)。
- 避免"跨域伪造请求"(cross site request forgeries,XSRF)。
- 及时打上补丁,让你的系统始终跟上最新版本。
- 确认你的数据库连接信息的安全性。
- 跟踪攻击技术的最新发展,以及你使用的平台的最新安全漏洞。
- 阅读Google的《浏览器安全手册》(Browser Security Handbook)。
- 阅读《网络软件的黑客手册》(The Web Application Hackers Handbook)。
性能(Performance)
搜索引擎优化(Search Engine Optimization,SEO)
技术(Technology)
- 理解HTTP协议,以及诸如GET、POST、sessions、cookies之类的概念,包括"无状态"(stateless)是什么意思。
- 确保你的XHTML/HTML和CSS符合W3C标准,使得它们能够通过检验。这可以使你的网页避免触发浏览器的古怪行为(quirk),而且使它在"屏幕朗读器"和手机上也能正常工作。
- 理解浏览器如何处理JavaScript脚本。
- 理解网页上的JavaScript文件、样式表文件和其他资源是如何装载及运行的,考虑它们对页面性能有何影响。在某些情况下,可能应该将脚本文件放置在网页的尾部。
- 理解JavaScript沙箱(Javascript sandbox)的工作原理,尤其是如果你打算使用iframe。
- 知道JavaScript可能无法使用或被禁用,以及Ajax并不是一定会运行。记住,"不允许脚本运行"(NoScript)正在某些用户中变得流行,手机浏览器对脚本的支持千差万别,而Google索引网页时不运行大部分的脚本文件。
- 了解301重定向和302重定向之间的区别(这也是一个SEO相关问题)。
- 尽可能多得了解你的部署平台(deployment platform)。
- 考虑使用样式表重置(Reset Style Sheet)。
- 考虑使用JavaScript框架(比如jQuery、MooTools、Prototype),它们可以使你不用考虑浏览器之间的差异。
解决bug
- 理解程序员20%的时间用于编码,80%的时间用于维护,根据这一点相应安排时间。
- 建立一个有效的错误报告机制。
- 建立某些途径或系统,让用户可以与你接触,向你提出建议和批评。
- 为将来的维护和客服人员撰写文档,解释清楚系统是怎么运行的。
- 经常备份!(并且确保这些备份是有效的。)除了备份机制,你还必须有一个恢复机制。
- 使用某种版本控制系统储存你的文件,比如Subversion或Git。
- 不要忘记做单元测试(Unit Testing),Selenium之类的框架会对你有用。
原文链接:http://stackoverflow.com/questions/72394
译文链接:网站开发人员应该知道的62件事
|