一�、界面和用戶體驗(yàn)(Interface and User Experience)
1.1
知道各大瀏覽器執(zhí)行Web尺度的情況��,保證你的站點(diǎn)在主要瀏覽器上都能正常運(yùn)行。你至少要測(cè)試以下引擎:Gecko(用于Firefox)��、Webkit(用于Safari�����、Chrome和一些手機(jī)瀏覽器)���、IE(你可以利用微軟發(fā)布的Application Compatibility VPC Images進(jìn)行測(cè)試)和Opera�����。同時(shí)�,不同的操縱系統(tǒng)���,可能也會(huì)影響瀏覽器如何呈現(xiàn)你的網(wǎng)站����。
1.2
除了瀏覽器,網(wǎng)站還有其他使用方式:手機(jī)�、屏幕朗讀器、搜索引擎等等�����。你應(yīng)該知道在這些情況下��,你的網(wǎng)站的運(yùn)行狀況���。MobiForge提供了手機(jī)網(wǎng)站開發(fā)的一些相關(guān)知識(shí)����。
1.3
知道如何在基本不影響用戶使用的情況下進(jìn)級(jí)網(wǎng)站�����。通常來說���,你必需有版本控制系統(tǒng)(CVS����、Subversion���、Git等等)和數(shù)據(jù)備份機(jī)制(backup)�。
1.4
不要讓用戶看到那些不友好的犯錯(cuò)提示�����。
1.5
不要直接顯示用戶的Email地址����,至少不要用純文本顯示。
1.6
為你的網(wǎng)站設(shè)置一些公道的使用限制�����,一旦超過門檻值�����,就自動(dòng)休止服務(wù)���。(這也與網(wǎng)站安全相關(guān)�。)
1.7
知道如何實(shí)現(xiàn)網(wǎng)頁的漸進(jìn)式增強(qiáng)(progressive enhancement)�。
1.8
用戶發(fā)出POST哀求后��,老是將其重導(dǎo)向(redirect)至另外一個(gè)網(wǎng)頁���。
1.9
不要健忘網(wǎng)站的可訪問性(accessibility,即殘疾人如何使用網(wǎng)站)�����。對(duì)于美國(guó)網(wǎng)站來說�,有時(shí)這是法定要求。WAI-ARIA有一些這方面很好的參考資料����。
二、安全性(Security)
2.1
閱讀《OWASP開發(fā)指南》��,它提供了全面的網(wǎng)站安全指導(dǎo)��。
2.2
了解SQL注入(SQL injection)及其預(yù)防方法��。
2.3
永遠(yuǎn)不要信任用戶提交的數(shù)據(jù)(cookie也是用戶端提交的?��。?。
2.4
不要明文(plain-text)儲(chǔ)存用戶的密碼,要hash處理后再儲(chǔ)存����。
2.5
不要對(duì)你的用戶認(rèn)證系統(tǒng)太自信,它可能很輕易就被攻破����,而你事先根本沒意識(shí)到存在相關(guān)漏洞����。
2.6
了解如何處理信用卡。
2.7
在登錄頁面及其他處理敏感信息的頁面�����,使用SSL/HTTPS�����。
2.8知道如何對(duì)付session劫持(session hijacking)�����。
2.9避免跨站點(diǎn)執(zhí)行(cross site scripting�����,XSS)。
2.10避免跨域偽造哀求(cross site request forgeries���,XSRF)�����。
2.11及時(shí)打上補(bǔ)丁�����,讓你的系統(tǒng)始終跟上近期版本����。
2.12確認(rèn)你的數(shù)據(jù)庫連接信息的安全性�。
2.13跟蹤攻擊技術(shù)的近期發(fā)展,以及你使用的平臺(tái)的近期安全漏洞�����。
2.14閱讀Google的《瀏覽器安全手冊(cè)》(Browser Security Handbook)�。
2.15閱讀《網(wǎng)絡(luò)軟件的黑客手冊(cè)》(The Web Application Hackers Handbook)。
