网站开发人员应该知道的61件事

原文网址：
译者：阮一峰

下文是外文翻译教程，大家可以鉴戒一下。

一、界面和用户休会（Interface and User Experience）
1.1
知道各大浏览器执行Web标准的情况，保障你的站点在重要浏览器上都能正常运行。你至少要测试以下引擎：Gecko（用于Firefox）、Webkit（用于Safari、Chrome和一些手机浏览器）、IE（你可以应用微软宣布的Application Compatibility VPC Images进行测试）和Opera。同时，不同的操作系统，可能也会影响浏览器如何浮现你的网站。
1.2
除了浏览器，网站还有其他使用方法：手机、屏幕诵读器、搜索引擎等等。你应该知道在这些情况下，你的网站的运行状态。MobiForge提供了手机网站开发的一些相关常识。
1.3
知道如何在基础不影响用户使用的情况下进级网站。通常来说，你必须有版本节制系统（CVS、Subversion、Git等等）和数据备份机制（backup）。
1.4
不要让用户看到那些不友爱的犯错提醒。
1.5
不要直接显示用户的Email地址，至少不要用纯文本显示。
1.6
为你的网站设置一些公道的使用限度，一旦超过门槛值，就主动结束服务。（这也与网站安全相关。）
1.7
知道如何实现网页的渐进式加强（progressive enhancement）。
1.8
用户发出POST请求后，老是将其重导向（redirect）至另外一个网页。
1.9
不要忘记网站的可访问性（accessibility，即残疾人如何使用网站）。对美国网站来说，有时这是法定请求。WAI-ARIA有一些这方面很好的参考材料。
二、平安性（Security）
2.1
浏览《OWASP开发指南》，它供给了全面的网站保险领导。
2.2
了解SQL注入（SQL injection）及其防备方式。
2.3
永远不要信赖用户提交的数据（cookie也是用户端提交的！）。
2.4
不要明文（plain-text）储存用户的密码，要hash处理后再储存。
2.5
不要对你的用户认证系统太自负，它可能很轻易就被攻破,网站开发人员如何应对客户的“持久战”，而你当时根本没意识到存在相关破绽。
2.6
了解如何处置信誉卡。
2.7
在登录页面及其他处理敏感信息的页面，使用SSL/HTTPS。
2.8
知道如何凑合session劫持（session hijacking）。
2.9
避免"跨站点履行"（cross site scripting，XSS）。
2.10
避免"跨域捏造请求"（cross site request forgeries，XSRF）。
2.11
及时打上补丁，让你的系统始终跟上最新版本。
2.12
确认你的数据库衔接信息的安全性。
2.13
跟踪攻打技术的最新发展，以及你使用的平台的最新安全漏洞。
2.14
阅读Google的《浏览器安全手册》（Browser Security Handbook）,网站建设要思考的问题。
2.15
阅读《网络软件的黑客手册》（The Web Application Hackers Handbook）。
三、性能（Performance）
3.1
只有有可能，就使用缓存（caching）。准确理解和使用HTTP caching与HTML5离线贮存。
3.2
优化图片。不要把一个20KB的图片文件，作为反复呈现的网页背景图案。
3.3
学习如何用gzip/deflate压缩内容（deflate方式更可取）。
3,网站建设的灵魂.4
将多个样式表文件或脚本文件，合为一个文件，这样可以减少浏览器的http要求数，以及减小gzip压缩后的文件总体积。
3.5
浏览Yahoo的Exceptional Performance网站，里面有大量晋升前端性能的优良提议，还有他们的YSlow工具。Google的page speed则是另一个用来分析网页性能的工具。两者都要求装置Firebug。
3.6
如果你的网页用到大批的小体积图片（好比工具栏），就应该应用CSS Image Sprite，目标是减少http恳求数。
3.7
大流量的网站应该考虑将网页对象疏散在多个域名（split components across domains）。
3.8
静态内容（比如图片、CSS、JavaScript、以及其他cookie无关的网页内容）都应该放在一个不须要使用cookie的独破域名之上。因为域名之下如果有cookie，那么客户端向该域名发出的每次http请求，都会附上cookie内容。这里的一个好办法就是使用"内容散发网络"（Content Delivery Network，CDN）。
3.9
将浏览器实现网页渲染所需要的http请求数最小化。
3.10
使用Google的Closure Compiler紧缩JavaScript文件，YUI Compressor亦可。
3.11
确保网站根目录下有favicon.ico文件，由于即便网页中基本不包括这个文件，浏览器也会自动发出对它的请求。所以如果这个文件不存在，就会发生大量的404过错，耗费光你的服务器的带宽。
四、搜寻引擎优化（Search Engine Optimization，SEO）
4.1
使用"搜索引擎友好"的URL情势，比如example.com/pages/45-article-title，而不是example.com/index.php?page=45。
4.2
不要使用"点击这里"之类的超级链接，因为这样即是挥霍了一个SEO机遇，而且下降了"屏幕默读器"（screen reader）的使用后果。
4.3
创立一个XML sitemap文件，它的缺省地位个别是/sitemap.xml（即放在网站根目录下）。
4.4
当你有多个URL指向统一个内容时，在网页代码中使用[/color]。
4,网站建设的四大核心关键.5
使用Google的[color=#556677]Webmaster Tools和Yahoo的Site Explorer。
4.6
从一开端就使用Google Analytics（或者开源的拜访量剖析工具Piwik）。
4.7
知道robots.txt的作用，以及搜索引擎蜘蛛的工作原理。
4.8
将www.example.com的访问请求导向example.com（使用301 Moved Permanently重定向），或者采取相反的做法，目的是避免Google把它们当做两个网站，离开盘算排名。
4,网站建设的一些基础经验.9
晓得存在着歹意或行动不合法的网络蜘蛛。
4.10
假如你的网站有非文本的内容（比方视频、音频等等），你应当参考Google的sitemap扩大协定。
五、技巧（Technology）
5.1
理解HTTP协议，以及诸如GET、POST、sessions、cookies之类的概念，包含"无状况"（stateless）是什么意思。
5.2
确保你的XHTML/HTML和CSS合乎W3C尺度，使得它们可能通过测验。这能够使你的网页防止触发阅读器的怪僻行为（quirk），而且使它在"屏幕朗诵器"跟手机上也能畸形工作。
5.3
理解浏览器如何处理JavaScript脚本。
5.4
懂得网页上的JavaScript文件、款式表文件和其余资源是如何装载及运行的，斟酌它们对页面机能有何影响。在某些情形下，可能应该将脚本文件放置在网页的尾部。
5.5
理解JavaScript沙箱（Javascript sandbox）的工作原理，尤其是如果你盘算使用iframe。
5.6
知道JavaScript可能无奈使用或被禁用，以及Ajax并不是必定会运行。记住，"不容许脚本运行"（NoScript）正在某些用户中变得风行，手机浏览器对脚本的支撑千差万别，而Google索引网页时不运行大局部的脚本文件。
5.7
懂得301重定向和302重定向之间的差别（这也是一个SEO相干问题）。
5.8
尽可能多得了解你的安排平台（deployment platform）。
5.9
考虑使用样式表重置（Reset Style Sheet）。
5.10
考虑使用JavaScript框架（比如jQuery、MooTools、Prototype），它们可以使你不必考虑浏览器之间的差别。
六、解决bug
6.1
理解程序员20%的时间用于编码，80%的时间用于维护，依据这一点相应部署时光。
6.2
建立一个有效的毛病讲演机制。
6.3
树立某些道路或体系，让用户可以与你接触，向你提出倡议和批驳。
6.4
为未来的保护和客服人员撰写文档，说明明白系统是怎么运行的。
6.5
常常备份！（并且确保这些备份是有效的。）除了备份机制，你还必需有一个恢复机制。
6.6
使用某种版本把持系统储存你的文件，比如Subversion或Git。
6.7
不要忘却做单元测试（Unit Testing），Selenium之类的框架会对你有用。