Website Specification 将现代网站的技术要求归纳为 10 大领域、128 项检查点,每项标记为 Required、Recommended、Optional 或 Avoid 四级优先级。对于工程团队而言,挑战不在于理解这些规范,而在于如何将其转化为可自动执行的检测流水线。本文基于该规范的分级体系,构建一套从静态分析到运行时验证的完整合规检测工具链,并提供可直接落地的参数配置与阈值清单。
静态分析层:结构与元数据合规检测
静态分析的核心是验证 HTML 结构、HTTP 响应头及资源引用的合规性。Website Specification 的 Foundations、SEO、Security 与 Well-Known URIs 四大领域均可在此阶段完成检测。
HTML 基础结构检测需覆盖文档类型声明、语言属性、字符编码与视口配置。检测规则应验证:文档首行必须为 <!doctype html>;<html> 元素必须包含有效的 BCP 47 语言标签;UTF-8 编码声明须出现在前 1024 字节内;视口元标签应禁止用户缩放限制。这些规则可通过 HTML 解析器在构建阶段批量执行,违规即阻断构建。
元数据与 SEO 检测聚焦 Open Graph 协议、Canonical URL、结构化数据与站点地图。检测工具应验证每个页面是否包含完整的 og:title、og:description、og:image、og:url 与 og:type;rel="canonical" 链接是否指向首选 URL;JSON-LD 结构化数据是否符合 schema.org 词汇表。对于站点地图,需检测其是否通过 atom:link rel="self" 自我标识,以及条目是否包含稳定的 GUID 与更新频率声明。
安全头与传输策略检测涵盖 HTTPS 强制、HSTS、CSP、SRI 与 Cookie 属性。检测流水线应验证:所有资源是否通过 HTTPS 加载;Strict-Transport-Security 头是否包含 max-age、includeSubDomains 与 preload;CSP 策略是否限制脚本与样式的外联来源;第三方资源是否携带 integrity 属性;会话 Cookie 是否使用 __Host- 或 __Secure- 前缀并设置 SameSite 属性。
Well-Known URIs 检测验证 /.well-known/ 路径下的标准文件。检测工具应检查 security.txt 是否包含漏洞报告联系方式;api-catalog 是否以 RFC 9264 Linkset JSON 格式发布;change-password 是否正确重定向至密码修改页面。这些检测可通过 HTTP 客户端在预发布环境批量执行。
运行时验证层:性能、可访问性与 Agent 就绪度
静态分析无法捕获用户体验层面的问题,需引入运行时验证。Website Specification 的 Accessibility、Performance、Agent Readiness 与 Resilience 领域需通过浏览器自动化与真实用户监控实现检测。
Core Web Vitals 监控是性能验证的核心。检测工具应在真实用户环境中采集 LCP(最大内容绘制)、INP(交互响应延迟)与 CLS(累积布局偏移)指标,并以第 75 百分位值作为判定依据。阈值设定为:LCP ≤ 2.5 秒、INP ≤ 200 毫秒、CLS ≤ 0.1。未达标的页面应触发告警并阻断发布。
可访问性运行时检测通过自动化测试验证键盘导航、焦点指示器与语义结构。检测脚本应模拟 Tab 键遍历所有交互元素,验证焦点顺序是否逻辑、焦点指示器是否可见、是否存在键盘陷阱。同时检测页面是否包含 "skip to main content" 跳转链接,以及 ARIA 属性是否正确使用 —— 遵循 "第一原则:不用 ARIA" 的约束,优先验证原生 HTML 元素的使用。
Agent Readiness 验证是 Website Specification 的特色领域。检测工具应验证 /.well-known/llms.txt 是否存在且格式正确;robots.txt 是否包含针对 AI 爬虫的显式规则;/.well-known/agent-skills/ 是否发布 Agent Skill 定义文件;MCP 端点是否可通过标准 JSON-RPC 访问。对于采用结构化数据的站点,应验证 JSON-LD 是否可被 AI 代理直接解析。
离线能力与错误处理验证通过 Service Worker 测试与错误页面检测实现。检测脚本应验证离线状态下页面是否能从缓存恢复;自定义 404 与 500 错误页是否正确返回对应 HTTP 状态码;503 维护页是否包含 Retry-After 头。这些验证可通过 Puppeteer 或 Playwright 在无网络环境下执行。
工具链集成:CI/CD 质量门禁实现
将静态分析与运行时验证集成至 CI/CD 流水线,是实现合规检测自动化的关键。建议采用分层门禁策略,根据规范优先级设定阻断阈值。
构建阶段门禁执行静态分析检测。Required 级别违规直接阻断构建;Recommended 级别违规生成警告但不阻断;Optional 级别违规仅记录日志。此阶段应在代码提交后、容器镜像构建前执行,确保问题在最早阶段暴露。
预发布阶段门禁执行运行时验证。通过 headless 浏览器访问预发布环境,采集 Core Web Vitals 与可访问性指标。对于性能指标,建议设置三级阈值:P75 值达标为通过,P75 值在阈值 1.5 倍范围内为警告,超出 1.5 倍为失败。可访问性检测应覆盖关键用户流程,如登录、搜索、结账等。
生产监控阶段持续采集真实用户数据。通过 Web Vitals 库或 RUM 工具持续监控 LCP、INP、CLS 指标,并与预发布阶段的基准值对比。当指标偏离基准超过 20% 时触发告警,超过 50% 时触发回滚建议。
分级合规报告是工具链的输出产物。报告应按 Website Specification 的 10 大领域分类,展示各领域合规率与趋势。Required 领域应达到 100% 合规;Recommended 领域建议达到 90% 以上;Optional 领域作为技术债追踪。报告应支持按页面、按团队、按时间维度钻取,便于定位问题根因。
可落地参数与阈值清单
以下参数可直接用于工具链配置:
静态分析阈值:HTML 验证错误数为 0;安全头缺失数 Required 级别为 0、Recommended 级别≤2;Well-Known URIs 缺失 Required 级别为 0;SEO 元数据完整率 Required 级别 100%、Recommended 级别≥95%。
运行时性能阈值:LCP ≤ 2.5s(P75)、INP ≤ 200ms(P75)、CLS ≤ 0.1(P75);图片现代格式(WebP/AVIF)使用率≥90%;压缩(brotli/gzip)覆盖率 100%。
可访问性阈值:键盘可访问元素覆盖率 100%;焦点指示器可见率 100%;跳转到主内容链接存在率 100%;色彩对比度 WCAG AA 合规率 100%。
Agent Readiness 阈值:llms.txt 存在率 100%;robots.txt AI 爬虫规则明确率 100%;结构化数据 JSON-LD 有效解析率 100%;MCP 端点可访问率 100%(如已实施)。
通过这套工具链,工程团队可将 Website Specification 的 128 项检查点转化为可执行、可监控、可度量的质量门禁,实现从 "规范解读" 到 "自动化合规" 的闭环。
资料来源
- Website Specification: https://specification.website/
- Website Specification Checklist: https://specification.website/checklist/
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。