Nov
27
界面和用户体验(Interface and User Experience)
● 知道各大浏览器执行Web标准的情况,保证你的站点在主要浏览器上都能正常运行。你至少要测试以下引擎:Gecko(用于Firefox)、Webkit(用于Safari、Chrome和一些手机浏览器)、IE(你可以利用微软发布的Application Compatibility VPC Images进行测试)和Opera。同时,不同的操作系统,可能也会影响浏览器如何呈现你的网站。
● 除了浏览器,网站还有其他使用方式:手机、屏幕朗读器、搜索引擎等等。你应该知道在这些情况下,你的网站的运行状况。MobiForge提供了手机网站开发的一些相关知识。
● 知道如何在基本不影响用户使用的情况下升级网站。通常来说,你必须有版本控制系统(CVS、Subversion、Git等等)和数据备份机制(backup)。
● 不要让用户看到那些不友好的出错提示。
● 不要直接显示用户的Email地址,至少不要用纯文本显示。
● 为你的网站设置一些合理的使用限制,一旦超过门槛值,就自动停止服务。(这也与网站安全相关。)
● 知道如何实现网页的渐进式增强(progressive enhancement)。
● 用户发出POST请求后,总是将其重导向(redirect)至另外一个网页。
● 不要忘记网站的可访问性(accessibility,即残疾人如何使用网站)。对于美国网站来说,有时这是法定要求。WAI-ARIA有一些这方面很好的参考资料。
安全性(Security)
● 阅读《OWASP开发指南》,它提供了全面的网站安全指导。
● 了解SQL注入(SQL injection)及其预防方法。
● 永远不要信任用户提交的数据(cookie也是用户端提交的!)。
● 不要明文(plain-text)储存用户的密码,要hash处理后再储存。
● 不要对你的用户认证系统太自信,它可能很容易就被攻破,而你事先根本没意识到存在相关漏洞。
● 了解如何处理信用卡。
● 在登录页面及其他处理敏感信息的页面,使用SSL/HTTPS。
● 知道如何对付session劫持(session hijacking)。
● 避免"跨站点执行"(cross site scripting,XSS)。
● 避免"跨域伪造请求"(cross site request forgeries,XSRF)。
● 及时打上补丁,让你的系统始终跟上最新版本。
● 确认你的数据库连接信息的安全性。
● 跟踪攻击技术的最新发展,以及你使用的平台的最新安全漏洞。
● 阅读Google的《浏览器安全手册》(Browser Security Handbook)。
● 阅读《网络软件的黑客手册》(The Web Application Hackers Handbook)。
性能(Performance)
● 只要有可能,就使用缓存(caching)。正确理解和使用HTTP caching与HTML5离线储存。
● 优化图片。不要把一个20KB的图片文件,作为重复出现的网页背景图案。
● 学习如何用gzip/deflate压缩内容(deflate方式更可取)。
● 将多个样式表文件或脚本文件,合为一个文件,这样可以减少浏览器的http请求数,以及减小gzip压缩后的文件总体积。
● 浏览Yahoo的Exceptional Performance网站,里面有大量提升前端性能的优秀建议,还有他们的YSlow工具。Google的page speed则是另一个用来分析网页性能的工具。两者都要求安装Firebug。
● 如果你的网页用到大量的小体积图片(比如工具栏),就应该使用CSS Image Sprite,目的是减少http请求数。
● 大流量的网站应该考虑将网页对象分散在多个域名(split components across domains)。
● 静态内容(比如图片、CSS、JavaScript、以及其他cookie无关的网页内容)都应该放在一个不需要使用cookie的独立域名之上。因为域名之下如果有cookie,那么客户端向该域名发出的每次http请求,都会附上cookie内容。这里的一个好方法就是使用"内容分发网络"(Content Delivery Network,CDN)。
● 将浏览器完成网页渲染所需要的http请求数最小化。
● 使用Google的Closure Compiler压缩JavaScript文件,YUI Compressor亦可。
● 确保网站根目录下有favicon.ico文件,因为即使网页中根本不包括这个文件,浏览器也会自动发出对它的请求。所以如果这个文件不存在,就会产生大量的404错误,消耗光你的服务器的带宽。
搜索引擎优化(Search Engine Optimization,SEO)
● 使用"搜索引擎友好"的URL形式,比如example.com/pages/45-article-title,而不是example.com/index.php?page=45。
● 不要使用"点击这里"之类的超级链接,因为这样等于浪费了一个SEO机会,而且降低了"屏幕朗读器"(screen reader)的使用效果。
● 创建一个XML sitemap文件,它的缺省位置一般是/sitemap.xml(即放在网站根目录下)。
● 当你有多个URL指向同一个内容时,在网页代码中使用。
● 使用Google的Webmaster Tools和Yahoo的Site Explorer。
● 从一开始就使用Google Analytics(或者开源的访问量分析工具Piwik)。
● 知道robots.txt的作用,以及搜索引擎蜘蛛的工作原理。
● 将www.example.com的访问请求导向example.com(使用301 Moved Permanently重定向),或者采用相反的做法,目的是防止Google把它们当做两个网站,分开计算排名。
● 知道存在着恶意或行为不正当的网络蜘蛛。
● 如果你的网站有非文本的内容(比如视频、音频等等),你应该参考Google的sitemap扩展协议。
技术(Technology)
● 理解HTTP协议,以及诸如GET、POST、sessions、cookies之类的概念,包括"无状态"(stateless)是什么意思。
● 确保你的XHTML/HTML和CSS符合W3C标准,使得它们能够通过检验。这可以使你的网页避免触发浏览器的古怪行为(quirk),而且使它在"屏幕朗读器"和手机上也能正常工作。
● 理解浏览器如何处理JavaScript脚本。
● 理解网页上的JavaScript文件、样式表文件和其他资源是如何装载及运行的,考虑它们对页面性能有何影响。在某些情况下,可能应该将脚本文件放置在网页的尾部。
● 理解JavaScript沙箱(Javascript sandbox)的工作原理,尤其是如果你打算使用iframe。
● 知道JavaScript可能无法使用或被禁用,以及Ajax并不是一定会运行。记住,"不允许脚本运行"(NoScript)正在某些用户中变得流行,手机浏览器对脚本的支持千差万别,而Google索引网页时不运行大部分的脚本文件。
● 了解301重定向和302重定向之间的区别(这也是一个SEO相关问题)。
● 尽可能多得了解你的部署平台(deployment platform)。
● 考虑使用样式表重置(Reset Style Sheet)。
● 考虑使用JavaScript框架(比如jQuery、MooTools、Prototype),它们可以使你不用考虑浏览器之间的差异。
解决bug
● 理解程序员20%的时间用于编码,80%的时间用于维护,根据这一点相应安排时间。
● 建立一个有效的错误报告机制。
● 建立某些途径或系统,让用户可以与你接触,向你提出建议和批评。
● 为将来的维护和客服人员撰写文档,解释清楚系统是怎么运行的。
● 经常备份!(并且确保这些备份是有效的。)除了备份机制,你还必须有一个恢复机制。
● 使用某种版本控制系统储存你的文件,比如Subversion或Git。
● 不要忘记做单元测试(Unit Testing),Selenium之类的框架会对你有用。
● 知道各大浏览器执行Web标准的情况,保证你的站点在主要浏览器上都能正常运行。你至少要测试以下引擎:Gecko(用于Firefox)、Webkit(用于Safari、Chrome和一些手机浏览器)、IE(你可以利用微软发布的Application Compatibility VPC Images进行测试)和Opera。同时,不同的操作系统,可能也会影响浏览器如何呈现你的网站。
● 除了浏览器,网站还有其他使用方式:手机、屏幕朗读器、搜索引擎等等。你应该知道在这些情况下,你的网站的运行状况。MobiForge提供了手机网站开发的一些相关知识。
● 知道如何在基本不影响用户使用的情况下升级网站。通常来说,你必须有版本控制系统(CVS、Subversion、Git等等)和数据备份机制(backup)。
● 不要让用户看到那些不友好的出错提示。
● 不要直接显示用户的Email地址,至少不要用纯文本显示。
● 为你的网站设置一些合理的使用限制,一旦超过门槛值,就自动停止服务。(这也与网站安全相关。)
● 知道如何实现网页的渐进式增强(progressive enhancement)。
● 用户发出POST请求后,总是将其重导向(redirect)至另外一个网页。
● 不要忘记网站的可访问性(accessibility,即残疾人如何使用网站)。对于美国网站来说,有时这是法定要求。WAI-ARIA有一些这方面很好的参考资料。
安全性(Security)
● 阅读《OWASP开发指南》,它提供了全面的网站安全指导。
● 了解SQL注入(SQL injection)及其预防方法。
● 永远不要信任用户提交的数据(cookie也是用户端提交的!)。
● 不要明文(plain-text)储存用户的密码,要hash处理后再储存。
● 不要对你的用户认证系统太自信,它可能很容易就被攻破,而你事先根本没意识到存在相关漏洞。
● 了解如何处理信用卡。
● 在登录页面及其他处理敏感信息的页面,使用SSL/HTTPS。
● 知道如何对付session劫持(session hijacking)。
● 避免"跨站点执行"(cross site scripting,XSS)。
● 避免"跨域伪造请求"(cross site request forgeries,XSRF)。
● 及时打上补丁,让你的系统始终跟上最新版本。
● 确认你的数据库连接信息的安全性。
● 跟踪攻击技术的最新发展,以及你使用的平台的最新安全漏洞。
● 阅读Google的《浏览器安全手册》(Browser Security Handbook)。
● 阅读《网络软件的黑客手册》(The Web Application Hackers Handbook)。
性能(Performance)
● 只要有可能,就使用缓存(caching)。正确理解和使用HTTP caching与HTML5离线储存。
● 优化图片。不要把一个20KB的图片文件,作为重复出现的网页背景图案。
● 学习如何用gzip/deflate压缩内容(deflate方式更可取)。
● 将多个样式表文件或脚本文件,合为一个文件,这样可以减少浏览器的http请求数,以及减小gzip压缩后的文件总体积。
● 浏览Yahoo的Exceptional Performance网站,里面有大量提升前端性能的优秀建议,还有他们的YSlow工具。Google的page speed则是另一个用来分析网页性能的工具。两者都要求安装Firebug。
● 如果你的网页用到大量的小体积图片(比如工具栏),就应该使用CSS Image Sprite,目的是减少http请求数。
● 大流量的网站应该考虑将网页对象分散在多个域名(split components across domains)。
● 静态内容(比如图片、CSS、JavaScript、以及其他cookie无关的网页内容)都应该放在一个不需要使用cookie的独立域名之上。因为域名之下如果有cookie,那么客户端向该域名发出的每次http请求,都会附上cookie内容。这里的一个好方法就是使用"内容分发网络"(Content Delivery Network,CDN)。
● 将浏览器完成网页渲染所需要的http请求数最小化。
● 使用Google的Closure Compiler压缩JavaScript文件,YUI Compressor亦可。
● 确保网站根目录下有favicon.ico文件,因为即使网页中根本不包括这个文件,浏览器也会自动发出对它的请求。所以如果这个文件不存在,就会产生大量的404错误,消耗光你的服务器的带宽。
搜索引擎优化(Search Engine Optimization,SEO)
● 使用"搜索引擎友好"的URL形式,比如example.com/pages/45-article-title,而不是example.com/index.php?page=45。
● 不要使用"点击这里"之类的超级链接,因为这样等于浪费了一个SEO机会,而且降低了"屏幕朗读器"(screen reader)的使用效果。
● 创建一个XML sitemap文件,它的缺省位置一般是/sitemap.xml(即放在网站根目录下)。
● 当你有多个URL指向同一个内容时,在网页代码中使用。
● 使用Google的Webmaster Tools和Yahoo的Site Explorer。
● 从一开始就使用Google Analytics(或者开源的访问量分析工具Piwik)。
● 知道robots.txt的作用,以及搜索引擎蜘蛛的工作原理。
● 将www.example.com的访问请求导向example.com(使用301 Moved Permanently重定向),或者采用相反的做法,目的是防止Google把它们当做两个网站,分开计算排名。
● 知道存在着恶意或行为不正当的网络蜘蛛。
● 如果你的网站有非文本的内容(比如视频、音频等等),你应该参考Google的sitemap扩展协议。
技术(Technology)
● 理解HTTP协议,以及诸如GET、POST、sessions、cookies之类的概念,包括"无状态"(stateless)是什么意思。
● 确保你的XHTML/HTML和CSS符合W3C标准,使得它们能够通过检验。这可以使你的网页避免触发浏览器的古怪行为(quirk),而且使它在"屏幕朗读器"和手机上也能正常工作。
● 理解浏览器如何处理JavaScript脚本。
● 理解网页上的JavaScript文件、样式表文件和其他资源是如何装载及运行的,考虑它们对页面性能有何影响。在某些情况下,可能应该将脚本文件放置在网页的尾部。
● 理解JavaScript沙箱(Javascript sandbox)的工作原理,尤其是如果你打算使用iframe。
● 知道JavaScript可能无法使用或被禁用,以及Ajax并不是一定会运行。记住,"不允许脚本运行"(NoScript)正在某些用户中变得流行,手机浏览器对脚本的支持千差万别,而Google索引网页时不运行大部分的脚本文件。
● 了解301重定向和302重定向之间的区别(这也是一个SEO相关问题)。
● 尽可能多得了解你的部署平台(deployment platform)。
● 考虑使用样式表重置(Reset Style Sheet)。
● 考虑使用JavaScript框架(比如jQuery、MooTools、Prototype),它们可以使你不用考虑浏览器之间的差异。
解决bug
● 理解程序员20%的时间用于编码,80%的时间用于维护,根据这一点相应安排时间。
● 建立一个有效的错误报告机制。
● 建立某些途径或系统,让用户可以与你接触,向你提出建议和批评。
● 为将来的维护和客服人员撰写文档,解释清楚系统是怎么运行的。
● 经常备份!(并且确保这些备份是有效的。)除了备份机制,你还必须有一个恢复机制。
● 使用某种版本控制系统储存你的文件,比如Subversion或Git。
● 不要忘记做单元测试(Unit Testing),Selenium之类的框架会对你有用。
Nov
25
引用
11月22日夜,贵州省六盘水市第二中学发生‘建校以来最暴力的’一次事件,校园大食堂被砸得面目全非,上千人参与,所幸无人受伤。学生们砸食堂的原因,在于学校食堂当晚宣布食物涨价。
这样的事件令我很震精,使我想起了五四运动、辛亥革命、《新青年》。不正是年轻的学生朋友掀起的浪潮吗?或许这一刻,我应该深思。在这样一个年代,作为80后的我除了麻木的工作之外,我到底还做了些什么?
我现在更多想的是如何赚钱买房成家,生个女儿,然后安度余生。想到圣诞会和朋友们去哪HI一下。
对于早已看透的社会,我也麻木了,社会就是那样的。对,我融入了他。学生年代的我们也曾热血,当世界杯澳大利亚干掉了小日本,我们为澳大利亚欢腾,用盆和桶,水洗了寝室。也因学校午夜切断网络,我们爆发了“男娼起义”。我们比任何人都痛恨学校“反恋爱纠察纵队”的那群走狗。但是我们都只是焖起来“搞破坏”。
六盘水的这群小鬼还真是做了我们不曾想的事情,我们当年可也是痛恨食堂那令人作呕的伙食来着。
有人说80后是社会的生力军,能将国家建设得更加美好。狗屎。我们完全只是在想自己如何才能活下去。记得鲁迅笔下的某某更像是我们。什么小三小四,不是说的80后那是说的谁?杯具也正是80后。
新生代的90后的意气用事起码告诉了我一点,是愤怒就一定要宣泄出来。虽然他们没有宣泄在根源上,但是他们也重重的扇了一下六盘水的市委的耳光。
可惜的是,没有如毛主席那样的伟人领导下,他们无处容身。
90后才是改变中国的一代?
Nov
24
去年手中将近有10来个CN的域名,如今都做垃圾让它们自然死。
续费?想都别想,那续来的可不是什么好东西,续来的是无尽的麻烦。
今天收到一封邮件,新网来的,说我的CN域名信息不符,让我重新书面提交,并附上公司执照复印件。
公司执照?
搞什么飞机,就那么50块一个的域名,你让我为了它成立一家公司?
我理都没理,新网的一个专员后来QQ联系到我,问我的具体情况。问域名为什么不续费了。
我说,你能把CN域名转到国外去我就续。那兄弟也不喜欢骗人,说,这CN域名的主服务器就在国内,你转月球去都还是归大清朝管。
最后我掂量下,虽然是个3位纯字母的域名,我还是决定放弃。
而且对什么国别域名一律无爱。
续费?想都别想,那续来的可不是什么好东西,续来的是无尽的麻烦。
今天收到一封邮件,新网来的,说我的CN域名信息不符,让我重新书面提交,并附上公司执照复印件。
公司执照?
搞什么飞机,就那么50块一个的域名,你让我为了它成立一家公司?
我理都没理,新网的一个专员后来QQ联系到我,问我的具体情况。问域名为什么不续费了。
我说,你能把CN域名转到国外去我就续。那兄弟也不喜欢骗人,说,这CN域名的主服务器就在国内,你转月球去都还是归大清朝管。
最后我掂量下,虽然是个3位纯字母的域名,我还是决定放弃。
而且对什么国别域名一律无爱。
Nov
23
竟然被联通加入黑名单了……原因是我的上网密码输入错误超过了30次……
我勒个擦
这的确是黑名单的确是黑名单
看来密码什么的保存还是很重要的……
我勒个擦
这的确是黑名单的确是黑名单
看来密码什么的保存还是很重要的……
Nov
22
近期听闻Google将会统一Android操作系统的UI界面的声音,谷歌要求不同厂商的移动设备提供统一的UI界面,改变目前OEM厂商可对Android系统进行深层定制,甚至在基于Android的基础上,贴牌自推品牌系统的情况。并试图改变当前Android阵营的零散状态,用统一的方式,避免OEM厂商定制系统UI引发的各种问题。
我是很赞成android统一的,看看现在什么垃圾OPHONE什么定制什么深度定制的,都是些垃圾东西,把设计费用用在成本的降低上不行?用在软件的研发不行?
虽然谷歌android的界面的确不怎么样,但是最起码的是这个系统的更新速度很快。所以,花费时间和金钱在UI的定制上,还不如做好硬件,适应系统的更新。
有人说,深度的定制实际上是有利益的事情,起码看上去和别的系统不同,比别的好看,好用,也就有了竞争力。但是,软件的兼容性呢?起码现在看来,只有HTC的定制是成功的,HTC只是进行了表层界面的修改美化,对系统软件的兼容性很好。那也就是为什么最新的系统发布,马上就会有HTC的各机型的ROM出现了。
但是谷歌的android开源了,要怎么赚钱呢?
有的厂家甚至把默认的搜索服务都变成baidu或bing了,那这不是切断了谷歌的利益线吗?
这无疑使谷歌警觉起来,这样下去,是不是会令自己捧出一个强有力的对手?
就目前来看,还没有哪一个基于android衍生的手机系统超越android本尊的。因为都缺乏创新和领导力,OPHNE这垃圾就不用多说了。
听闻魅族的M9也是深度定制,那货还真是个贱逼。你直接发布一个原生态的系统不更好,就为了迎合自己的软件市场就牺牲用户的利益,和那垃圾ophne没什么区别。
android统一UI会失去什么?只会失去手机制造厂商的贪婪,却能得来手机用户的使用便利。
那些什么深度定制的厂商,多想想怎么在软件和售后上下功夫吧,深度定制你只是想在系统里面加些流氓软件和扣费程序而已,省省吧!
我是很赞成android统一的,看看现在什么垃圾OPHONE什么定制什么深度定制的,都是些垃圾东西,把设计费用用在成本的降低上不行?用在软件的研发不行?
虽然谷歌android的界面的确不怎么样,但是最起码的是这个系统的更新速度很快。所以,花费时间和金钱在UI的定制上,还不如做好硬件,适应系统的更新。
有人说,深度的定制实际上是有利益的事情,起码看上去和别的系统不同,比别的好看,好用,也就有了竞争力。但是,软件的兼容性呢?起码现在看来,只有HTC的定制是成功的,HTC只是进行了表层界面的修改美化,对系统软件的兼容性很好。那也就是为什么最新的系统发布,马上就会有HTC的各机型的ROM出现了。
但是谷歌的android开源了,要怎么赚钱呢?
有的厂家甚至把默认的搜索服务都变成baidu或bing了,那这不是切断了谷歌的利益线吗?
这无疑使谷歌警觉起来,这样下去,是不是会令自己捧出一个强有力的对手?
就目前来看,还没有哪一个基于android衍生的手机系统超越android本尊的。因为都缺乏创新和领导力,OPHNE这垃圾就不用多说了。
听闻魅族的M9也是深度定制,那货还真是个贱逼。你直接发布一个原生态的系统不更好,就为了迎合自己的软件市场就牺牲用户的利益,和那垃圾ophne没什么区别。
android统一UI会失去什么?只会失去手机制造厂商的贪婪,却能得来手机用户的使用便利。
那些什么深度定制的厂商,多想想怎么在软件和售后上下功夫吧,深度定制你只是想在系统里面加些流氓软件和扣费程序而已,省省吧!
