做Web開發需要了解開發技術

　　在StackExchange上有人問了這樣一個問題：What should every programmer know about web development?(關于Web開發，什么是所有程序員需要知道的?)里面給出的答案非常不錯，所以，我翻譯轉載過來。 順便說一下，StackExchange真是非常好，大家可以對同一個答案做貢獻和修訂，看看這個問題的修訂過程你就知道了——專業的問答網站應該怎么去做。這就是我在這篇文章中也說過真正的用戶體驗是什么樣的。

　　好了，下面是正文(我對原文做了一些批注，也許不對或有誤導，請大家指正)

　　下面的這些東西可能對于大多數人并不陌生，但是可能會有些東西你以前并沒有看過，或是沒有完全搞懂，甚至都沒有聽說過。(陳皓注：我相信當你看完這個列表后，你會覺得對于我國的Web開發有點弱了，還是那句話，表面上的東西永遠是膚淺的)

　　接口和用戶體驗

　　小心瀏覽器的實現標準上的不一致，確信讓你的網站能夠適當地跨瀏覽器。至少，你的網站需要測試一下下面的瀏覽器：

　　最新的 Gecko 引擎 (Firefox)，

　　一個 Webkit 引擎 (Safari, Chrome, 或是其它的移動設備上的瀏覽器)

　　IE 瀏覽器 (測試IE的兼容性你可以使用微軟IE的 Application Compatibility VPC Images)

　　Opera 瀏覽器。

　　最后，你可以使用一下這個工具 來看看你的網頁在不同的瀏覽器下是怎么被顯示出來的(陳皓注：這個工具就是以前本站介紹過的在不同瀏覽器和平臺上檢查你的網站的兼容性)

　　多考慮一下人們是怎么來訪問你的網站而不是那些主流的瀏覽器：手機，讀屏軟件和搜索引擎，例如：一些Accessibility的東西： WAI 和 Section508, 移動設備開發：MobiForge.

　　部署Staging：怎么部署網站的更新而不會影響用戶的訪問。 Ed Lucas的答案 可以讓你了解一些(陳皓注：Ed說了一些如版本控制，自動化build，備份，回滾等機制)。

　　千萬不要直接給用戶顯示不友好的錯誤信息。

　　千萬不要把用戶的郵件地址以明文顯示出來，這樣會被爬蟲爬走并被讓用戶的郵箱被垃圾郵件搞死。

　　為用戶的鏈接加上 rel="nofollow" 的屬性以 避免垃圾網站的干擾。(陳皓注：nofollow是HTML的一個屬性，用于通知搜索引擎“這個鏈接所指向的網頁非我所能控制，對其內容不予置評”，或者簡單地說，該鏈接不是對目標網站或網頁的“投票”，這樣搜索引擎不會再訪問這個鏈接。這個是用來減少一些特定垃圾頁面對原網站的影響，從而可以改善搜索結果的質量，并且防止垃圾鏈接的蔓延。)

　　為網站建立一些的限制 - 這個屬于安全性的范疇。(陳皓注：比如你在Google注冊郵箱時，你一口氣注冊超過兩個以上的郵箱，gmail要求給你發短信或是給你打電話認證，比如Discuz論壇的會限制你發貼或是搜索的間隔時間等等，更多的網站會用CAPTCHA來確認是人為的操作。 這些限制都是為了防止垃圾和惡意攻擊)

　　學習如何做 Progressive Enhancement. (陳皓注：Progressive Enhancement是一個Web Design的理念，如：1)基礎的內容和功能應該可以被所有的瀏覽器存取，2)頁面布局的應該使用外部的CSS鏈接，3)Javascript也應該是外部鏈接還應該是 unobtrusive 的，4)應該讓用戶可以設置他們的偏好)

　　如果POST成功，要在POST方法后重定向網址，這樣可以阻止用戶通過刷新頁面重復提交。

　　嚴重關注Accessibility。因為這是法律上的需求(陳皓注：Section 508是美國的508法案，其是美國勞工復健法的改進，它是一部聯邦法律，這個法律要求所有技術要考慮到殘障人士的應用，如果某個大眾信息傳播網站，如果某些用戶群體(如殘疾人)瀏覽該網站獲取信息時，如果他們無法正常獲得所期望的信息(如無法正常瀏覽)，那可以依據相關法規，可以對該網站依法起訴)。 WAI-ARIA 為這方面的事提供很不錯的資源.

　　安全

　　在網上有很多關于安全的文章，但是 OWASP 開發指導 涵蓋了幾乎所有關于Web站點安全的東西。(陳皓注：OWASP(開放Web應用安全項目- Open Web Application Security Project)是一個開放的非營利性組織，目前全球有130個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期 致力于協助政府或企業了解并改善網頁應用程式與網頁服務的安全性。OWASP被視為Web應用安全領域的權威參考。2009年下列發布的美國國家和國際立法、標準、準則、委員會和行業實務守則參考引用了OWASP。美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP十大WEB弱點防護守則)

　　了解什么是 SQL 注入攻擊 并知道怎么阻止這種攻擊。

　　永遠不要相信用戶的輸入(包括Cookies，因為那也是用戶的輸入)

　　對用戶的口令進行Hash，并使用salt，以防止Rainbow 攻擊(陳皓注：Hash算法可用MD5或SHA1等，對口令使用salt的意思是，user 在設定密碼時，system 產生另外一個random string(salt)。在datbase 存的​​是與salt + passwd 產的md5sum 及salt。 當要驗證密碼時就把user 輸入的string 加上使用者的salt，產生md5s​​um 來比對。 理論上用salt 可以大幅度讓密碼更難破解，相同的密碼除非剛好salt 相同，最后​​存在database 上的內容是不一樣的。google一下md5+salt你可以看到很多文章。關于Rainbow 攻擊，其意思是很像密碼字典表，但不同的是，Rainbow Table存的是已經被Hash過的密碼了，而且其查找密碼的速度更快，這樣可以讓攻擊非?？?。使用慢一點的Hash算法來保存口令，如 bcrypt (被時間檢證過了) 或是 scrypt (更強，但是也更新一些) (1, 2)。你可以閱讀一下 How To Safely Store A Password(陳皓注：酷殼以前曾介紹過bcrypt這個算法，這里，我更建議我們應該讓用戶輸入比較強的口令，比如Apple ID注冊的過程需要用戶輸入超過8位，需要有大小寫和數字的口令，或是做出類似于這樣的用戶體驗的東西)。

　　不要試圖自己去發明或創造一個自己的fancy的認證系統，你可能會忽略到一些不容易讓你查覺的東西而導致你的站點被hack了。(陳皓注：我在騰訊那坑爹的申訴系統中說過這個事了，我說過這句話——“真正的安全系統是協同整個社會的安全系統做出來的一道安全長城，而不是什么都要自己搞”，當然，很遺憾不是所有的人都能看懂這個事，包括一些資深的人)

原文轉自：http://www.kjueaiud.com