【IT168 评论】很多人在动手开发网站之前都喜欢问，“我需要知道哪些事情?”每个开发者的答案可能都不太相同，通常情况下，你需要把所有人的发言从头到尾读一遍。但是，Stack Overflow有一个很贴心的设计，它允许在问题下方开设一个wiki区，让所有人共同编辑一个非常好的答案。于是，就有了下面这篇文章，一共总结出六个方面共计61条"网站开发须知"。

　　关于网站开发，这样全面的概述性文章非常少见，因此也就非常有用。大家不妨看看，61件事情中你做到了多少?

　　一、界面和用户体验

　　1.知道各大浏览器执行Web标准的情况，保证你的站点在主要浏览器上都能正常运行。你至少要测试以下引擎：Gecko(用于Firefox)、Webkit(用于Safari、Chrome和一些手机浏览器)、IE(你可以利用微软发布的Application Compatibility VPC Images进行测试)和Opera。同时，不同的操作系统，可能也会影响浏览器如何呈现你的网站。

　　2.除了浏览器，网站还有其他使用方式：手机、屏幕朗读器、搜索引擎等等。你应该知道在这些情况下，你的网站的运行状况。MobiForge提供了手机网站开发的一些相关知识。

　　3.知道如何在基本不影响用户使用的情况下升级网站。通常来说，你必须有版本控制系统(CVS、Subversion、Git等等)和数据备份机制(backup)。

　　4.不要让用户看到那些不友好的出错提示。

　　5.不要直接显示用户的Email地址，至少不要用纯文本显示。

　　6.为你的网站设置一些合理的使用限制，一旦超过门槛值，就自动停止服务。(这也与网站安全相关。)

　　7.知道如何实现网页的渐进式增强(progressive enhancement)。

　　8.用户发出POST请求后，总是将其重导向(redirect)至另外一个网页。

　　9.不要忘记网站的可访问性(accessibility，即残疾人如何使用网站)。对于美国网站来说，有时这是法定要求。WAI-ARIA有一些这方面很好的参考资料。

　　二、安全性

　　1.阅读《OWASP开发指南》，它提供了全面的网站安全指导。

　　2.了解SQL注入(SQL injection)及其预防方法。

　　3.永远不要信任用户提交的数据(cookie也是用户端提交的!)。

　　4.不要明文(plain-text)储存用户的密码，要hash处理后再储存。

　　5.不要对你的用户认证系统太自信，它可能很容易就被攻破，而你事先根本没意识到存在相关漏洞。

　　6.了解如何处理信用卡。

　　7.在登录页面及其他处理敏感信息的页面，使用SSL/HTTPS。

　　8.知道如何对付session劫持(session hijacking)。

　　9.避免"跨站点执行"(cross site scripting，XSS)。

　　10.避免"跨域伪造请求"(cross site request forgeries，XSRF)。

　　11.及时打上补丁，让你的系统始终跟上最新版本。

　　12.确认你的数据库连接信息的安全性。

　　13.跟踪攻击技术的最新发展，以及你使用的平台的最新安全漏洞。

　　14.阅读Google的《浏览器安全手册》。

　　15.阅读《网络软件的黑客手册》。

　　三、性能(Performance)

　　1.只要有可能，就使用缓存(caching)。正确理解和使用HTTP caching与HTML5离线储存。

　　2.优化图片。不要把一个20KB的图片文件，作为重复出现的网页背景图案。

　　3.学习如何用gzip/deflate压缩内容(deflate方式更可取)。

　　4.将多个样式表文件或脚本文件，合为一个文件，这样可以减少浏览器的http请求数，以及减小gzip压缩后的文件总体积。

　　5.浏览Yahoo的Exceptional Performance网站，里面有大量提升前端性能的优秀建议，还有他们的YSlow工具。Google的page speed则是另一个用来分析网页性能的工具。两者都要求安装Firebug。

　　6.如果你的网页用到大量的小体积图片(比如工具栏)，就应该使用CSS Image Sprite，目的是减少http请求数。

　　7.大流量的网站应该考虑将网页对象分散在多个域名(split components across domains)。

　　8.静态内容(比如图片、CSS、JavaScript、以及其他cookie无关的网页内容)都应该放在一个不需要使用cookie的独立域名之上。因为域名之下如果有cookie，那么客户端向该域名发出的每次http请求，都会附上cookie内容。这里的一个好方法就是使用"内容分发网络"(Content Delivery Network，CDN)。

　　9.将浏览器完成网页渲染所需要的http请求数最小化。

　　10.使用Google的Closure Compiler压缩JavaScript文件，YUI Compressor亦可。

　　11.确保网站根目录下有favicon.ico文件，因为即使网页中根本不包括这个文件，浏览器也会自动发出对它的请求。所以如果这个文件不存在，就会产生大量的404错误，消耗光你的服务器的带宽。