ChinaStrong的爱视觉个人博客

可用性研究表明，当响应时间超过一秒钟时，用户便能够有所察觉。
虽然在反馈系统中，当用户需要等待时，更好的解决方案的是应该采用确定性的进度条。但对于一些耗时短，且用户的带宽为主要影响要素时，却使用Loading这种低成本实现的反馈。

Loading图标的历史来源已经无法考究(据传是苹果最先使用)，但是，它的动态效果，在视觉上刚好是一个重复循环的“风火轮”。非常适合做不确定等待时间的进度反馈。

Loading的主要作用，在于提供反馈给用户表示当前状态，并且让用户的命令的执行和完成过渡得更加平滑。从这种角度上说，它和很多流动式反馈没有多大区别，如MAC系统中窗口最小化的渐进动画。

Loading的图标仅仅在web应用当中产生，而在客户端中，则较少使用，因为鼠标手型能够代替它的工作。

但是对比客户端，web端的Loading反馈可控性更好，创意也更加。如以下几种：

那么在设计中，如何放置Loading图标，也应该有所章法。但是无论如何放置，都有一个规则：确保用户可以注意到。

1.靠近点击区域

靠近点击区域，能够让你的Loading反馈得到最直接的呈现，也最利于被注意到。如果能配合按钮的Enabled与Disabled状态的切换，这是很好的反馈。

2.位于内容刷新区域上层

当用户选择刷新页面内某块区域内内容时，其视觉焦点也将聚焦于此，如果此时让Loading反馈不适合放置在点击区域，那么将其放在内容刷新区域上层，也是一个很直观的反馈。如QQ邮箱广播的评论展开区域：

但是需要注意的是，勿将Loading反馈采用模态形式，模态形式将导致用户只能等待Loading完成而无法进行其他操作，而且还有可能给用户带来损失。

如上图，如果这个Loading反馈是模态形式，当它出现时，您就无法点击页面内其他地方，万一不走运，这个时候你网络断线，这辛苦写的日志，你就可能再也找不回来了。（注：图为Qzone发表日志截图，其Loading反馈为非模态形式）

3.固定区域

固定区域呈现，最好应该是固定在浏览器窗口某位置（要确保用户能很方便的注意到），而不是固定在页面某位置。如同Gmail一样，Loading反馈始终位于浏览器窗口顶端位置。

但也需切记，别把Loading反馈放置得离视觉焦点太远。这样很难注意到。

Loading反馈虽然是一个小部件，但其能够给用户的，却是系统可见性的有效提高，在平常的设计中，需对Loading反馈设计有所留意。

但Loading反馈不足的地方是，无法明确告知用户具体等待时间。就像拨打客服电话中被告知的“稍等片刻”一样。即使这样我们依然能做得更好，像Gmail那样。

当用户Loading了约10秒后，如果系统还在运转，那么Gmail会自动将Loading标签修改为Still Working，明确告知用户，可能还需等待一段时间。

Loading反馈在实际设计中不容忽视，尤其是在用户提交表单时，Loading反馈和各控件的连锁状态变化场景当中。忽视它的后果，将给用户带来严重的等待的焦灼感，给用户带来损失。

所以，请好好设计你们产品的Loading反馈。

源地址：http://www.userkon.com/to……_loading.html

应用程序安全专家表示，HTML5给开发人员带来了新的安全挑战。苹果公司与Adobe公司之间的口水战带来对HTML 5命运的诸多猜测，尽管HTML 5的实现还有很长的路要走，但可以肯定的一点是，运用HTML 5的开发人员将需要为应用程序安全开发生命周期部署新的安全功能以应对HTML5带来的安全挑战。

那么HTML5将会对我们需要覆盖的攻击面带来怎样的影响？本文将探讨关于HTML 5几个重要安全问题。

客户端存储

早期版本的HTML仅允许网站将cookies作为本地信息存储，而这些空间相对较小，仅适用于存储简单的档案信息或者作为存储在其他位置的数 据(例如会话ID)的标识符，Denim集团应用程序安全研究部门的主管Dan Cornell表示。然而，HTML5 LocalStorage则允许浏览器本地存储大量据库，允许使用新类型应用程序。

“随之而来的风险就是，敏感数据可能被存储在本地用户工作站，而物理访问或者破坏该工作站的攻击者，就能够轻松获得敏感数据，”Cornell 表示，“这对于使用共享计算机的用户更加危险。”

“从定义上来说，它真的只是能够在客户端系统存储信息，”Rapid7公司的安全研究人员Josh Abraham表示，“那么你就具备基于客户端SQL注入攻击的潜在能力，或者可能你的某个客户端的数据库是恶意的，当与生产系统同步时，则可能出现同步 问题，或者客户端的潜在恶意数据将被插入到生产系统。”

为了解决这个问题，开发人员需要能够验证数据是否为恶意的，这其实是个很复杂的问题。

对于这个问题的重要性并不是所有人都赞同。Veracode公司首席技术官Chris Wysopal表示，例如web应用程序通过使用插件或者浏览器扩展存储数据客户端就一直存在很多方法。

“有很多已知的方法可以操控目前部署的HTML5 SessionStorage属性，但是标准最终确定时，这个问题才会解决，”Wysopal表示。

跨域通信

而其他版本的HTML可能直允许JavaScript发出XML HTTP请求调用回原来的服务器，而HTML5放宽了这个限制，XML HTTP请求可以发送给任何允许这种请求的服务器。当然，如果服务器不可信任的话，这也会带来严重安全问题。

“例如，我可以建立一个mashup(糅合，将两种以上使用公共或者私有数据库的web应用合并形成一个整合应用)通过 JSON(Javascript Object Notation)将第三方网站的比赛比分拉过来，”Cornell表示，“这个网站可能会发送恶意数据到我的用户浏览器正在运行的应用程序上。虽说 HTML5允许新类型的应用程序的建立，但如果开发人员在开始使用这些功能时，并不理解他们所建立的应用程序的安全意义，那么将会给用户带来很大安全风 险。”

对于依赖于PostMessage()来编写应用程序的开发人员而言，必须仔细检查以确保信息是来源于他们自己的网站，否则来自其他网站的恶意 代码可能会制造恶意信息，Wysopal补充说。这个功能本身并不是安全的，开发人员已经开始使用不同的DOM(文档对象模型)/浏览器功能来效仿跨域通 讯。

另一个相关问题是，万维网联盟目前为跨源资源共享设计提供了一种使用类似与跨域机制绕过同源政策的方法。

“IE部署的安全功能与Firefox、Chrome以及Safari都不相同，”他指出，“开发人员需要确保他们创建过于宽松访问控制列表的 危害，特别是因为某些参考代码目前非常不安全。

Iframe安全

从安全角度来看，HTML5也有不错的功能，例如计划支持iframe的沙盒属性。

“这个属性将允许开发者选择数据如何解译的方式，”Wysopal表示，“不幸的是，与大部分HTML一样，这个设计很可能被开发人员误解，很 可能因为不便于使用而被开发人员禁用。如果处理得当，这个功能将能够帮助抵御恶意第三方广告或者防止不可信任内容重放。”

文/IT专家网http://www.alibuybuy.com/19578.html