文章目录
jsp 和 servlet 的区别是什么?
jsp 是 servlet 技术的扩展,属于简易方式。
它们不同在于,前者侧重于视图,后者侧重于控制逻辑。
servlet 应用逻辑在 Java 的文件中,且完全从表示层中的 html 里分离出来;
jsp 是 Java 和 html 可组成一个扩展名为 .jsp 的文件。
jsp 中有哪些内置对象?有什么作用?
- request: 封装客户端请求。(包含 get、post 的请求参数)
- response: 封装服务器对客户端的响应。
- pageContext: 获取其它对象。
- session: 封装用户会话的对象。
- application: 封装服务器运行环境的对象
- out: 输出服务器响应的输出流对象。
- config: web 应用的配置对象。
- page: jsp 页面本身
- exception: 封装页面抛出异常的对象。
jsp 有几种作用域?
- page: 代表一个页面相关的对象和属性。
- request: 指与客户端发出的一个请求相关的对象和属性。一个请求可能会跨越多个页面,涉及多个 web 组件;需在页面显示临时数据可用它。
- session: 指与某个用户和服务器建立一次会话相关的对象和属性。将与用户相关的数据放在用户自己的 session 中。
- application: 指和整个 web 应用相关的对象和属性。是跨越整个 web 程序、多个页面、请求与会话的全局作用域。
session 和 cookie 有什么区别?
存储位置不同、安全性问题、容量及个数限制、存储多样性
- session 存在服务器端,cookie 存在 浏览器端
- cookie 安全不好,容易被伪造和修改
- cookie 有容量限制,其每个站点下的数量也有限
- session 可存在 redis 、数据库、应用程序里,cookie 只能存在浏览器中
session 的工作原理是什么?
客户端登录完成后,服务器会创建对应的 session 并将 sessionid 发送给客户端,然后客户端存储到浏览器中。后续客户端每次访问服务器时都将带着 sessionid 过去,服务器在自己内存中找到相对应的 session 后便能正常工作。
当客户端禁止 cookie 时 session 还能使用吗?
可以;
session 只是依赖 cookie 存储 sessionid,只要在 url 中添加 sessionid 的方式便能保证 session 可正常使用。
spring mvc 和 struts 的区别是什么?
- 拦截级别:前者是方法级别,后者是类级别。
- 拦截机制:前者使用的是独立的 aop 方式;后者是使用自己的 interceptor 机制,这样便导致自己的配置文件量比前者大。
- 数据独立性:前者方法间是独立的,独享 request 和 response 数据,请求参数通过参数获取,处理结果由 ModelMap 交给框架,方法间不共享变量;后者方法间也独立,但 action 变量是共享的(不会影响程序运行),在编码和阅读源码时给开发者带来了一定的麻烦。
- 对 Ajax 的支持:前者集成了 Ajax 使用注解
@ResponseBody
即可;后者需要安装插件 / 自己写代码。
怎样避免 SQL 注入?
- 使用预处理 PreparedStatement
- 使用正则表达式过滤掉字符中的特殊字符
xss 攻击是什么?怎样避免?
xss —— 跨站脚本攻击,属于 web 程序中的常见漏洞。
攻击者往 web 页面中插入恶意脚本代码(css、javascript…),当用户浏览该页面时被嵌入的脚本代码便会被执行,从而达到恶意攻击用户的目的(盗用户 cookie,破坏页面结构、重定向到其它网站…)。
什么是 CSRF 攻击?怎么避免?
Cross-Site-Request Forgery —— 跨域请求伪造
攻击者会盗用用户的身份,以用户的名义去发送恶意请求(以用户名义发送邮件,购买商品,虚拟货币转账…)。
防御:
- 验证请求来源地址
- 关键操作添加验证码
- 在请求地址添加 token 并验证