那些你可能不知道的 RSS 订阅细节：PHP 开发者避坑指南

作者：[PHP小志]
发布于：2025 年 11 月 15 日
标签：PHP · Web 开发 · RSS · 技术笔记

大家好，我是 [PHP小志]，一名热爱写代码也爱写博客的 PHP 程序员。

最近我在优化自己博客的 RSS 订阅功能时，踩了不少“看起来没问题，其实大有问题”的坑。RSS 虽然诞生已久，格式也看似简单，但真要让它在 Feedly、Inoreader、Reeder 等现代阅读器中稳定工作，还真有不少容易被忽略的细节。

今天就来和大家分享一些 “不容易被发现但极其重要” 的 RSS 知识点，希望能帮你少走弯路。

1. <guid> 不只是 ID，它是“永久身份证”

很多教程说：“给每篇文章加个 <guid> 就行”。于是有人直接用数据库 ID，有人用当前时间戳。

但问题来了：如果文章 URL 改了，或者标题变了，阅读器还能认出这是同一篇文章吗？

答案是否定的——除非你的 <guid> 是永久不变且全局唯一的。

✅ 正确做法：

<guid isPermaLink="true">https://yourblog.com/posts/123</guid>

• 使用文章的永久链接作为 <guid>
• 显式声明 isPermaLink="true"（默认值虽是 true，但显式更稳妥）
• 即使以后改版 URL，也别动这个值！

否则，阅读器会当成“新文章”重复推送，用户看到一堆重复内容，体验极差。

2. 时间格式：别让时区毁了你的更新顺序

RSS 要求 <pubDate> 必须是 RFC 2822 格式，比如：

Sat, 15 Nov 2025 10:00:00 +0800

注意：时区偏移不能带冒号！+08:00 是错的，必须是 +0800。

在 PHP 中，一行代码搞定：

echo date('r', $timestamp); // 自动输出符合 RFC 2822 的字符串

如果你用了 date('c')（ISO 8601 格式），某些老阅读器会直接解析失败。

3. XML 文件头：一个空格就能让你的 Feed 崩溃

我曾经因为 PHP 文件开头不小心多了一个换行，导致整个 RSS 在某些客户端里完全无法加载。

原因？XML 必须以 <?xml ...> 开头，前面不能有任何字符（包括 BOM、空格、换行）。

✅ 建议：

• 用无 BOM 的 UTF-8 编码保存文件
• 输出前不要有任何 echo、print 或空白
• 设置正确的 HTTP 头：

  header('Content-Type: application/rss+xml; charset=utf-8');

4. 别忘了告诉阅读器：“我是谁，我在哪”

现代阅读器（如 Feedly）依赖 Atom 的 self 链接来识别你的 Feed 地址。如果你没加，它们可能无法正确订阅或更新。

在 <channel> 里加上这行：

<atom:link href="https://yourblog.com/feed.xml" rel="self" type="application/rss+xml" />

同时别忘了在 HTML 的 <head> 中加入自动发现标签：

<link rel="alternate" type="application/rss+xml" title="我的博客" href="/feed.xml" />

这样用户点击浏览器地址栏的 RSS 图标就能一键订阅！

5. HTML 内容怎么放？CDATA 是你的朋友

如果你想在 <description> 里展示带格式的摘要（比如包含 <p>、<em>），千万别直接塞 HTML！

XML 会把 < 当成标签开始符，导致解析错误。

✅ 推荐用 CDATA 包裹：

<description><![CDATA[<p>这是一段<strong>富文本</strong>内容。</p>]]></description>

⚠️ 注意：CDATA 里不能出现 ]]> 字符串，否则会提前闭合。

6. 缓存不是可选项，而是必选项

如果你的博客有几千订阅者，每次他们都全量拉取 RSS，服务器压力会很大。

请务必支持 ETag 和 Last-Modified：

$lastMod = gmdate('D, d M Y H:i:s', $latestPostTime) . ' GMT';
header('Last-Modified: ' . $lastMod);
header('ETag: "' . md5($rssContent) . '"');

// 检查 304
if (isset($_SERVER['HTTP_IF_NONE_MATCH']) && $_SERVER['HTTP_IF_NONE_MATCH'] === '"' . md5($rssContent) . '"') {
 http_response_code(304);
 exit;
}

这样，无更新时只返回 304，省流量又快。

7. 安全提醒：别让 RSS 成为攻击入口

如果你的系统会抓取第三方 RSS 并展示（比如聚合站），千万小心：

• XSS 风险：别人在 <description> 里塞 <script>，你直接输出就中招。
• SSRF 风险：恶意 RSS 引导你请求内网地址。

✅ 防护措施：

• 对抓取内容做 HTML 清洗（推荐 HTML Purifier）
• 禁用 XML 外部实体（XXE）：libxml_disable_entity_loader(true);
• 限制抓取域名白名单

结语：小细节，大体验

RSS 虽“老”，但依然是内容分发的重要渠道。一个规范、健壮、安全的 Feed，不仅能提升用户体验，也能体现开发者对细节的尊重。

我自己现在每次更新博客，都会用 W3C Feed 验证器 跑一遍，确保万无一失。

希望这篇文章能帮到正在搭建或优化 RSS 的你。如果你也有踩过的坑，欢迎在评论区分享！