網站開發人員應該知道的62件事

　　有人在Stack Overflow上發問，動手開發網站之前，需要知道哪些事情？不出意料地，他得到了一大堆回答。

　　通常情況下，你需要把所有人的發言從頭到尾讀一遍。但是，Stack Overflow有一個很貼心的設計，它允許在問題下方開設一個wiki區，讓所有人共同編輯一個最佳答案。於是，就有了下面這篇文章，一共總結出六個方面共計62條“網站開發須知”。

　　我發現，這種概述性的問題，最適合這種集合群智、頭腦風暴式的回答方式了。這也是我第一次覺得，Stack Overflow做到了Wikipedia做不到的事。（難怪它最近擠進了全美前400大網站。）

　　在我的印象中，關於網站開發，這樣全面的概述性文章非常少見，因此也就非常有用。大家不妨看看，62件事情中你做到了多少？

　　一、介面和使用者體驗（Interface and User Experience）

　　1.1、知道各大瀏覽器執行Web標準的情況，保證你的站點在主要瀏覽器上都能正常執行。你至少要測試以下引擎：Gecko（用於Firefox）、Webkit（用於Safari、Chrome和一些手機瀏覽器）、IE（你可以利用微軟釋出的Application Compatibility VPC Images進行測試）和Opera。同時，不同的作業系統，可能也會影響瀏覽器如何呈現你的網站。

　　1.2、除了瀏覽器，網站還有其他使用方式：手機、螢幕朗讀器、搜尋引擎等等。你應該知道在這些情況下，你的網站的執行狀況。MobiForge提供了手機網站開發的一些相關知識。

　　1.3、知道如何在基本不影響使用者使用的情況下升級網站。通常來說，你必須有版本控制系統（CVS、Subversion、Git等等）和資料備份機制（backup）。

　　1.4、不要讓使用者看到那些不友好的出錯提示。

　　1.5、不要直接顯示使用者的Email地址，至少不要用純文字顯示。

　　1.6、為你的網站設定一些合理的使用限制，一旦超過門檻值，就自動停止服務。（這也與網站安全相關。）

　　1.7、知道如何實現網頁的漸進式增強（progressive enhancement）。

　　1.8、使用者發出POST請求後，總是將其重導向（redirect）至另外一個網頁。

　　1.9、不要忘記網站的可訪問性（accessibility，即殘疾人如何使用網站）。對於美國網站來說，有時這是法定要求。WAI-ARIA有一些這方面很好的參考資料。

　　二、安全性（Security）

　　2.1、閱讀《OWASP開發指南》，它提供了全面的網站安全指導。

　　2.2、瞭解SQL隱碼攻擊（SQL injection）及其預防方法。

　　2.3、永遠不要信任使用者提交的資料（cookie也是使用者端提交的！）。

　　2.4、不要明文（plain-text）儲存使用者的密碼，要hash處理後再儲存。

　　2.5、不要對你的使用者認證系統太自信，它可能很容易就被攻破，而你事先根本沒意識到存在相關漏洞。

　　2.6、瞭解如何處理信用卡。

　　2.7、在登入頁面及其他處理敏感資訊的頁面，使用SSL/HTTPS。

　　2.8、知道如何對付session劫持（session hijacking）。

　　2.9、避免“跨站點執行”（cross site scripting，XSS）。

　　2.10、避免“跨域偽造請求”（cross site request forgeries，XSRF）。

　　2.11、及時打上補丁，讓你的系統始終跟上最新版本。

　　2.12、確認你的資料庫連線資訊的安全性。

　　2.13、跟蹤攻擊技術的最新發展，以及你使用的平臺的最新安全漏洞。

　　2.14、閱讀Google的《瀏覽器安全手冊》（Browser Security Handbook）。

　　2.15、閱讀《網路軟體的黑客手冊》（The Web Application Hackers Handbook）。

　　三、效能（Performance）

　　3.1、只要有可能，就使用快取（caching）。正確理解和使用HTTP caching與HTML5離線儲存。

　　3.2、優化圖片。不要把一個20KB的圖片檔案，作為重複出現的網頁背景圖案。

　　3.3、學習如何用gzip/deflate壓縮內容（deflate方式更可取）。

　　3.4、將多個樣式表檔案或指令碼檔案，合為一個檔案，這樣可以減少瀏覽器的http請求數，以及減小gzip壓縮後的檔案總體積。

　　3.5、瀏覽Yahoo的Exceptional Performance網站，裡面有大量提升前端效能的優秀建議，還有他們的YSlow工具。Google的page speed則是另一個用來分析網頁效能的工具。兩者都要求安裝Firebug。

　　3.6、如果你的網頁用到大量的小體積圖片（比如工具欄），就應該使用CSS Image Sprite，目的是減少http請求數。

　　3.7、大流量的網站應該考慮將網頁物件分散在多個域名（split components across domains）。

　　3.8、靜態內容（比如圖片、CSS、JavaScript、以及其他cookie無關的網頁內容）都應該放在一個不需要使用cookie的獨立域名之上。因為域名之下如果有cookie，那麼客戶端向該域名發出的每次http請求，都會附上cookie內容。這裡的一個好方法就是使用“內容分發網路”（Content Delivery Network，CDN）。

　　3.9、將瀏覽器完成網頁渲染所需要的http請求數最小化。

　　3.10、使用Google的Closure Compiler壓縮JavaScript檔案，YUI Compressor亦可。

　　3.11、確保網站根目錄下有favicon.ico檔案，因為即使網頁中根本不包括這個檔案，瀏覽器也會自動發出對它的請求。所以如果這個檔案不存在，就會產生大量的404錯誤，消耗光你的伺服器的頻寬。