網站開發人員須知的62件事情

       在我的印象中，關于網站開發，這樣全面的概述性文章非常少見，是以也就非常有用。大家不妨看看，62件事情中你做到了多少？

界面和使用者體驗（Interface and User Experience）

• ● 知道各大浏覽器執行Web标準的情況，保證你的站點在主要浏覽器上都能正常運作。你至少要測試以下引擎：Gecko（用于Firefox）、Webkit（用于Safari、Chrome和一些手機浏覽器）、IE（你可以利用微軟釋出的Application Compatibility VPC Images進行測試）和Opera。同時，不同的作業系統，可能也會影響浏覽器如何呈現你的網站。
• ● 除了浏覽器，網站還有其他使用方式：手機、螢幕朗讀器、搜尋引擎等等。你應該知道在這些情況下，你的網站的運作狀況。MobiForge提供了手機網站開發的一些相關知識。
• ● 知道如何在基本不影響使用者使用的情況下更新網站。通常來說，你必須有版本控制系統（CVS、Subversion、Git等等）和資料備份機制（backup）。
• ● 不要讓使用者看到那些不友好的出錯提示。
• ● 不要直接顯示使用者的Email位址，至少不要用純文字顯示。
• ● 為你的網站設定一些合理的使用限制，一旦超過門檻值，就自動停止服務。（這也與網站安全相關。）
• ● 知道如何實作網頁的漸進式增強（progressive enhancement）。
• ● 使用者發出POST請求後，總是将其重導向（redirect）至另外一個網頁。
• ● 不要忘記網站的可通路性（accessibility，即殘障人士如何使用網站）。對于美國網站來說，有時這是法定要求。WAI-ARIA有一些這方面很好的參考資料。

安全性（Security）

• ● 閱讀《OWASP開發指南》，它提供了全面的網站安全指導。
• ● 了解SQL注入（SQL injection）及其預防方法。
• ● 永遠不要信任使用者送出的資料（cookie也是使用者端送出的！）。
• ● 不要明文（plain-text）儲存使用者的密碼，要hash處理後再儲存。
• ● 不要對你的使用者認證系統太自信，它可能很容易就被攻破，而你事先根本沒意識到存在相關漏洞。
• ● 了解如何處理信用卡。
• ● 在登入頁面及其他處理敏感資訊的頁面，使用SSL/HTTPS。
• ● 知道如何對付session劫持（session hijacking）。
• ● 避免"跨站點執行"（cross site scripting，XSS）。
• ● 避免"跨域僞造請求"（cross site request forgeries，XSRF）。
• ● 及時打上更新檔，讓你的系統始終跟上最新版本。
• ● 确認你的資料庫連接配接資訊的安全性。
• ● 跟蹤攻擊技術的最新發展，以及你使用的平台的最新安全漏洞。
• ● 閱讀Google的《浏覽器安全手冊》（Browser Security Handbook）。
• ● 閱讀《網絡軟體的黑客手冊》（The Web Application Hackers Handbook）。

性能（Performance）

• ● 隻要有可能，就使用緩存（caching）。正确了解和使用HTTP caching與HTML5離線儲存。
• ● 優化圖檔。不要把一個20KB的圖檔檔案，作為重複出現的網頁背景圖案。
• ● 學習如何用gzip/deflate壓縮内容（deflate方式更可取）。
• ● 将多個樣式表檔案或腳本檔案，合為一個檔案，這樣可以減少浏覽器的http請求數，以及減小gzip壓縮後的檔案總體積。
• ● 浏覽Yahoo的Exceptional Performance網站，裡面有大量提升前端性能的優秀建議，還有他們的YSlow工具。Google的page speed則是另一個用來分析網頁性能的工具。兩者都要求安裝Firebug。
• ● 如果你的網頁用到大量的小體積圖檔（比如工具欄），就應該使用CSS Image Sprite，目的是減少http請求數。
• ● 大流量的網站應該考慮将網頁對象分散在多個域名（split components across domains）。
• ● 靜态内容（比如圖檔、CSS、JavaScript、以及其他cookie無關的網頁内容）都應該放在一個不需要使用cookie的獨立域名之上。因為域名之下如果有cookie，那麼用戶端向該域名發出的每次http請求，都會附上cookie内容。這裡的一個好方法就是使用"内容分發網絡"（Content Delivery Network，CDN）。
• ● 将浏覽器完成網頁渲染所需要的http請求數最小化。
• ● 使用Google的Closure Compiler壓縮JavaScript檔案，YUI Compressor亦可。
• ● 確定網站根目錄下有favicon.ico檔案，因為即使網頁中根本不包括這個檔案，浏覽器也會自動發出對它的請求。是以如果這個檔案不存在，就會産生大量的404錯誤，消耗光你的伺服器的帶寬。

搜尋引擎優化（Search Engine Optimization，SEO）

• ● 使用"搜尋引擎友好"的URL形式，比如example.com/pages/45-article-title，而不是example.com/index.php?page=45。
• ● 不要使用"點選這裡"之類的超級連結，因為這樣等于浪費了一個SEO機會，而且降低了"螢幕朗讀器"（screen reader）的使用效果。
• ● 建立一個XML sitemap檔案，它的預設位置一般是/sitemap.xml（即放在網站根目錄下）。
• ● 當你有多個URL指向同一個内容時，在網頁代碼中使用<link rel="canonical" ... />。
• ● 使用Google的Webmaster Tools和Yahoo的Site Explorer。
• ● 從一開始就使用Google Analytics（或者開源的通路量分析工具Piwik）。
• ● 知道robots.txt的作用，以及搜尋引擎蜘蛛的工作原理。
• ● 将www.example.com的通路請求導向example.com（使用301 Moved Permanently重定向），或者采用相反的做法，目的是防止Google把它們當做兩個網站，分開計算排名。
• ● 知道存在着惡意或行為不正當的網絡蜘蛛。
• ● 如果你的網站有非文本的内容（比如視訊、音頻等等），你應該參考Google的sitemap擴充協定。

技術（Technology）

• ● 了解HTTP協定，以及諸如GET、POST、sessions、cookies之類的概念，包括"無狀态"（stateless）是什麼意思。
• ● 確定你的XHTML/HTML和CSS符合W3C标準，使得它們能夠通過檢驗。這可以使你的網頁避免觸發浏覽器的古怪行為（quirk），而且使它在"螢幕朗讀器"和手機上也能正常工作。
• ● 了解浏覽器如何處理JavaScript腳本。
• ● 了解網頁上的JavaScript檔案、樣式表檔案和其他資源是如何裝載及運作的，考慮它們對頁面性能有何影響。在某些情況下，可能應該将腳本檔案放置在網頁的尾部。
• ● 了解JavaScript沙箱（Javascript sandbox）的工作原理，尤其是如果你打算使用iframe。
• ● 知道JavaScript可能無法使用或被禁用，以及Ajax并不是一定會運作。記住，"不允許腳本運作"（NoScript）正在某些使用者中變得流行，手機浏覽器對腳本的支援千差萬别，而Google索引網頁時不運作大部分的腳本檔案。
• ● 了解301重定向和302重定向之間的差別（這也是一個SEO相關問題）。
• ● 盡可能多得了解你的部署平台（deployment platform）。
• ● 考慮使用樣式表重置（Reset Style Sheet）。
• ● 考慮使用JavaScript架構（比如jQuery、MooTools、Prototype），它們可以使你不用考慮浏覽器之間的差異。

解決bug

• ● 了解程式員20%的時間用于編碼，80%的時間用于維護，根據這一點相應安排時間。
• ● 建立一個有效的錯誤報告機制。
• ● 建立某些途徑或系統，讓使用者可以與你接觸，向你提出建議和批評。
• ● 為将來的維護和客服人員撰寫文檔，解釋清楚系統是怎麼運作的。
• ● 經常備份！（并且確定這些備份是有效的。）除了備份機制，你還必須有一個恢複機制。
• ● 使用某種版本控制系統儲存你的檔案，比如Subversion或Git。
• ● 不要忘記做單元測試（Unit Testing），Selenium之類的架構會對你有用。