一、界面和用戶體驗（Interface and User Experience）

1.1

知道各大瀏覽器執(zhí)行Web尺度的情況，保證你的站點在主要瀏覽器上都能正常運行。你至少要測試以下引擎：Gecko（用于Firefox）、Webkit（用于Safari、Chrome和一些手機瀏覽器）、IE（你可以利用微軟發(fā)布的Application Compatibility VPC Images進行測試）和Opera。同時，不同的操縱系統(tǒng)，可能也會影響瀏覽器如何呈現(xiàn)你的網(wǎng)站。

1.2

除了瀏覽器，網(wǎng)站還有其他使用方式：手機、屏幕朗讀器、搜索引擎等等。你應該知道在這些情況下，你的網(wǎng)站的運行狀況。MobiForge提供了手機網(wǎng)站開發(fā)的一些相關(guān)知識。

1.3

知道如何在基本不影響用戶使用的情況下進級網(wǎng)站。通常來說，你必需有版本控制系統(tǒng)（CVS、Subversion、Git等等）和數(shù)據(jù)備份機制（backup）。

1.4

不要讓用戶看到那些不友好的犯錯提示。

1.5

不要直接顯示用戶的Email地址，至少不要用純文本顯示。

1.6

為你的網(wǎng)站設置一些公道的使用限制，一旦超過門檻值，就自動休止服務。（這也與網(wǎng)站安全相關(guān)。）

1.7

知道如何實現(xiàn)網(wǎng)頁的漸進式增強（progressive enhancement）。

1.8

用戶發(fā)出POST哀求后，老是將其重導向（redirect）至另外一個網(wǎng)頁。

1.9

不要健忘網(wǎng)站的可訪問性（accessibility，即殘疾人如何使用網(wǎng)站）。對于美國網(wǎng)站來說，有時這是法定要求。WAI-ARIA有一些這方面很好的參考資料。

二、安全性（Security）

2.1

閱讀《OWASP開發(fā)指南》，它提供了全面的網(wǎng)站安全指導。

2.2

了解SQL注入（SQL injection）及其預防方法。

2.3

永遠不要信任用戶提交的數(shù)據(jù)（cookie也是用戶端提交的?。?。

2.4

不要明文（plain-text）儲存用戶的密碼，要hash處理后再儲存。

2.5

不要對你的用戶認證系統(tǒng)太自信，它可能很輕易就被攻破，而你事先根本沒意識到存在相關(guān)漏洞。

2.6

了解如何處理信用卡。

2.7

在登錄頁面及其他處理敏感信息的頁面，使用SSL/HTTPS。

2.8知道如何對付session劫持（session hijacking）。

2.9避免跨站點執(zhí)行（cross site scripting，XSS）。

2.10避免跨域偽造哀求（cross site request forgeries，XSRF）。

2.11及時打上補丁，讓你的系統(tǒng)始終跟上近期版本。

2.12確認你的數(shù)據(jù)庫連接信息的安全性。

2.13跟蹤攻擊技術(shù)的近期發(fā)展，以及你使用的平臺的近期安全漏洞。

2.14閱讀Google的《瀏覽器安全手冊》（Browser Security Handbook）。

2.15閱讀《網(wǎng)絡軟件的黑客手冊》（The Web Application Hackers Handbook）。