面试八股文-Web相关

最新推荐文章于 2024-08-12 06:00:15 发布
最新推荐文章于 2024-08-12 06:00:15 发布
阅读量1.1k 收藏 16
点赞数 2
分类专栏: Interview 文章标签: 面试 前端 django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38992249/article/details/120886235
版权

Web相关

什么是WSGI?

全称是Web Server Gateway Interface,即web服务器网关接口,

是python定义的Web服务器和Web应用程序之间的一种通信规范

Django,Flask,Tornado的对比

Django: 大而全,内置ORM,Admin等组件,第三方插件较多

Flask: 微框架,比较灵活,但这也导致项目结构不统一

Tornado: 异步支持的微框架和异步网络库,第三方插件少,要自己造轮子

什么是MVC?

模型(Model): 负责业务对象和数据库的交互,在web框架中一般通过ORM实现

视图(View): 负责与用户的交互展示

控制器(Controller): 接收请求参数调用模型和视图,响应请求

什么是ORM?

Object Relational Mapping对象关系映射,用于实现类与数据表,类属性与数据表字段的映射关系

通过面向对象的方式操作数据表,代码量更少,提高了开发效率

在python中,常用的ORM框架有

  • Django的ORM: 简单易用,但不好处理复杂的查询
  • peewee: 类似于Django的ORM的轻量级实现,容易与任意web框架集成, 官方文档很清晰
  • SQLAlchemy: 重量级API,可以写复杂查询,学习曲线长, 事务处理很玄学

SQL注入

概念: 通过构造特殊的输入参数传入后端,导致后端查询出数据库的全部记录,导致数据泄漏

实现原理:

sql = "select * from students where name='%s';" % "小明' or 1 or '"
print(sql)          # select * from students where name='小明' or 1 or '';

如何防范:

  • 不要直接拼接SQL,SQL语句用%s占位,通过cursor.execute()的第二个参数位传入参数
  • 使用ORM可以大大降低sql注入的风险
  • 数据库不要明文存储敏感信息

XSS攻击

概念: Cross Site Scipting跨站脚本攻击,攻击者通过某种手段在web页面插入一些恶意的js代码,当该页面加载时,这段js脚本就会执行,用 document.cookie 来读写 Cookie 数据,从而窃取到用户的cookie等信息,XSS攻击主要 分为 反射型 和 存储型 两种

实现原理:

  • 反射型XSS攻击原理: 攻击者诱导用户点击包含了恶意js代码的url链接,网站服务端又将这个恶意脚本反射给浏览器执行

    • 如恶意url链接:

      192.168.3.67:9000/?name=<script>alert("hello")</script>

  • 存储型XSS攻击原理: 攻击者将恶意代码上传到服务器,只要用户浏览包含此恶意代码的网站就会执行恶意代码

    • 如submit表单时,提交的评论信息为下面这种,其它用户访问评论信息页就会弹框提示hi

      <script>alert("hi")</script>

如何防范:

将不可信数据放入到html标签内(比如div、span等)的时候需要进行html编码,将 & < > " ’ / 转义为实体字符

CSRF攻击

概念: Cross Site Request Forgery跨站请求伪造,攻击者盗用用户身份发送恶意请求

实现原理: 用户在登录网站A后产生了cookie,又去访问了恶意网站B,网站B发出访问网站A的请求,于是浏览器带着网站A的cookie访问A,这样B就达到了模拟用户操作访问网站A的目的

如何防范:

服务端生成一个csrf_token,嵌入到网站A页面中,攻击者模拟向服务端发送post请求时,由于没有正确的csrf_token,服务器会拒绝该请求. 现在浏览器已经禁止发送跨域请求了

同源策略

一个URL由协议,域名,端口,路径组成,如果两个URL的协议,域名,端口都相同,就可以认为这两个URL是同源的

同源策略是浏览器的一个安全机制,不同源的js脚本在没有明确授权的情况下,不能读写其它网站的资源

CORS跨域请求

出于安全原因,浏览器限制跨域 HTTP 请求。为了安全的请求跨域资源,浏览器使用一种称为 CORS(跨域资源共享) 的机制。

前端发出跨域请求后,浏览器会自动向HTTP header添加一个额外的Origin字段,填入发起跨域请求的URL,

后端如果允许跨域请求,也要在响应头里添加Access-Control-Allow-Origin字段,填入允许发起跨域请求的URL

浏览器收到响应后,判断 发起跨域请求的URL 是否被允许,如果允许,前端才能接收到跨域资源

Django是如何防止CSRF攻击的?

添加CSRF中间件, 要求在发送post请求的时候必须要带上一个csrf_token, 而这个csrf_token是在第一次获取页面时嵌入到form中的

什么是前后端分离? 有哪些优点?

前端通过访问后端提供的接口对数据进行CRUD, 后端只返回前端所需的数据, 不再对html模板文件进行渲染

优点:

  • 网页,app这些不同的前端可以共用接口,减少开发量
  • 定义好接口规范后,前后端可以同步开发,各司其职

什么是RestfulAPI?

  • 把HTTP请求方法与数据库的增删改查结合起来
    • HTTP的GET查询资源,POST新增资源,PUT修改资源,DELETE删除资源,
  • 请求路径中不能出现动词,使用名词的复数形式
  • 使用JSON返回数据

序列化 和 反序列化

序列化:数据对象 转 json

反序列化:json 转 数据对象

read_only 和 write_only

read_only仅用于序列化输出, 不校验参数

write_only正好相反

View,APIView,GenericAPIView

  • View:Django的视图类,所有视图的基类,传入的是HTTPRequest
  • APIView:DRF中所有视图的基类,传入的是Request
  • GenericAPIView:继承自APIView,增加了query_set,serializer_class等类属性和方法,通常搭配Mixin扩展类使用
    • CreateAPIView:继承自 GenericAPIView、CreateModelMixin
    • ListAPIView:继承自GenericAPIView、ListModelMixin
    • RetrieveUpdateDestoryAPIView:继承自GenericAPIView、RetrieveModelMixin、UpdateModelMixin、DestoryModelMixin

Viewset,GenericViewset,ModelViewset

  • Viewset:继承自APIView,可以把请求方法映射为自定义方法名
  • GenericViewset:继承自GenericAPIView,增加了query_set…
  • ModelViewset:继承自GenericAPIView和所有的Mixin扩展类

注册的流程

接收参数,用户名,密码,手机号,短信验证码, 正则表达式校验参数

调用User.objects.create_user()方法,调用login()实现状态保持

生成响应对象,设置cookie,返回响应

登录的流程

接收参数,用户名,密码,是否记住密码,正则表达式校验参数

调用authenticate()方法,调用login()实现状态保持

生成响应对象,设置cookie,返回响应

nginx, uWSGI, Django有什么关系

nginx和uWSGI都是web服务器, nginx处理静态资源, uWSGI处理动态资源

请求会先发到nginx, 发现是自己处理不了的动态资源就转发给uWSGI,

Django是web应用程序, 需要运行在uWSGI服务器上

Django的优缺点

  • python实现, 代码简洁优雅
  • 提供管理后台, 能够快速开发
  • 复用度高, 设计上遵循DRY原则
  • 内置的中间件和安全框架
  • 单体应用, 不适合并行开发
  • 不适合高并发的互联网项目

ERP odoo

ERP是企业资源计划, 企业内部的业务管理系统, 包含财务、物流、人力资源等核心模块

odoo是python开发的开源ERP系统

Celery的原理

基于生产者消费者模型, 生产者就是web应用程序, 负责把需要异步执行的任务放到消息队列中,

一般可以用Redis, RabbitMQ作为消息队列

消费者就是celery, 负责读取消息队列的内容来执行

ElasticSearch的原理

本质上是对海量数据进行分词, 并建立倒排索引, 这样就可以通过关键字搜出满足条件的所有记录

数据对象

read_only 和 write_only

read_only仅用于序列化输出, 不校验参数

write_only正好相反

View,APIView,GenericAPIView

  • View:Django的视图类,所有视图的基类,传入的是HTTPRequest
  • APIView:DRF中所有视图的基类,传入的是Request
  • GenericAPIView:继承自APIView,增加了query_set,serializer_class等类属性和方法,通常搭配Mixin扩展类使用
    • CreateAPIView:继承自 GenericAPIView、CreateModelMixin
    • ListAPIView:继承自GenericAPIView、ListModelMixin
    • RetrieveUpdateDestoryAPIView:继承自GenericAPIView、RetrieveModelMixin、UpdateModelMixin、DestoryModelMixin

Viewset,GenericViewset,ModelViewset

  • Viewset:继承自APIView,可以把请求方法映射为自定义方法名
  • GenericViewset:继承自GenericAPIView,增加了query_set…
  • ModelViewset:继承自GenericAPIView和所有的Mixin扩展类
狄森
关注
专栏目录
记录遇到的web前端开发面试题(八股文
qq_41347964的博客
04-20 1万+
文章目录前言一、javascript相关1.js的八个基本数据类型(高频)2.this的五种指向方式3.Function的call,apply和bind方法的区别?4.Promise,手写promise5.闭包6.原型链,作用域链与原型链的区别?7.继承与继承的五种实现方式8.深拷贝与浅拷贝的区别?(高频)9.事件委托10.var,const和let对比(高频)11.宏任务与微任务12.bind的实现方式13.eventloop,事件循环(超高频)14.new的过程,手动实现一个new方法15.0.1+0.
Java Web开发系列八股文
w5254841的博客
08-06 1161
1. Spring Boot 1.1 说说你对Spring Boot的理解 参考答案 从本质上来说,Spring Boot就是Spring,它做了那些没有它你自己也会去做的Spring Bean配置。Spring Boot使用“习惯优于配置”的理念让你的项目快速地运行起来,使用Spring Boot很容易创建一个能独立运行、准生产级别、基于Spring框架的项目,使用Spring Boot你可以不用或者只需要很少的Spring配置。 简而言之,Spring Boot本身并不提供Spring的核心功能
【Java八股文总结】之Java Web
qq_46111316的博客
11-24 4275
Java Web 相关知识,秋招面试必问题
程序员面试八股文”的利弊分析与实际作用
2401_85750860的博客
08-12 300
  ---
八股文Web篇——网络通讯部分)第十二天
随便写写
08-06 265
客户端和服务器端之间数据传输的格式规范,格式简称为“超文本传输协议”。是一个基于请求与响应模式的、无状态的、应用层的协议,基于 TCP 的连接方式。
Java面试八股文整理
m0_67402125的博客
08-01 1703
String类String类在java.lang包中,java使用String类创建一个字符串变量,字符串变量属于对象。java把String类声明的final类,不能有类。String类对象创建后不能修改,由0或多个字符组成,包含在一对双引号之间。String类对象的创建字符串声明字符串创建stringName=newString(字符串常量);或stringName=字符串常量;String类构造方法1、无参构造方法,用来创建空字符串的String对象。2、3、4、...
最强面试八股文-前端
10-05
同时,面试者还应该熟悉前端开发的其他重要概念,如响应式设计、JavaScript框架(如React、Vue、Angular)、Web性能优化、网络基础知识以及安全实践等,这些都是前端开发者必备的技能和知识。通过不断学习和实践,...
2024前端面试八股文2024前端面试八股文2024前端面试八股文
最新发布
08-17
2024前端面试八股文2024前端面试八股文2024前端面试八股文2024前端面试八股文2024前端面试八股文
2024前端面试八股文
04-23
### 2024前端面试八股文精要解析 #### CSS部分 1. **display的block、inline和inline-block的区别** - **block**:此类元素会独占一行,这意味着在同一行上不能存在其他的block元素。block元素可以设置宽度(`...
java面试八股文-基础篇
ZHAOHUODIAN888的博客
09-01 432
(1)java语言是一种高级计算语言,是一种面向对象的编程语言,在java的世界中,万物皆为对象;(2)跨平台性,可能你听说过java的一句经典的话:Write once and run everywhere,一次编写 ,到处运行,这是为什么呢?java利用java虚拟机运行字节码文件,所以不管是什么系统的平台,只要能对java程序进行编译,都是可以运行的;(3)java是一种解释型语言,编译器把java代码编译成平台无关的中间代码,然后jvm上运行;
Python面试八股文背诵版
11-10
【Python面试八股文背诵版】是一系列针对Python开发者准备面试的重要知识点的汇总,涵盖了操作系统、Python基础知识、Docker、Zookeeper等多个方面。以下是对这些知识点的详细说明: 1. **操作系统**: - **进程间...
面试的java八股文*数据库MySQL
鱼皮小刘博客
06-27 504
面试中数据库也是热点经常问: MySQL mysql 的架构 执行流程 存储引擎 mysql官方文档: mysql的官方网站 存储引擎 查看支持的引擎: show engines; 存储引擎 更新的执行流程 更新的执行流程 事务 ACID 隔离级别 执行的操作: show global variables like ‘%isolation%’; spring事务支持 锁-全局 mysql的锁按锁定粒度分为三类: 全局锁、 表锁、行级锁(由引擎实现) 锁-表级 .
前端常见面试八股文
热门推荐
qq_43376559的博客
02-13 2万+
HTML篇 1、H5新增标签有哪些? 一、语义化标签 header、footer、nav、aside、section、article 语义化的意义? 1、更适合搜索引擎的爬虫爬取有效的信息,利于SEO。 2、对开发团队很友好,增加了标签的可读性,结构更加的清晰,便于团队的开发和维护。 二、多媒体标签 视频标签:video 属性:src、 Poster(加载等待画面的图片)、muted(静音) 音频标签: audio 属性:src、loop、controls(调出当前控件) 三、表单元素、控件 输入框inpu
2023Web前端开发八股文&面试题(万字系列)——这篇就够了!
upgrade_bro的博客
09-01 1万+
2023Web前端开发面试题&八股文万字长篇,涵盖html、css、javascript、浏览器相关、网络传输、算法、Vue、React、打包工具……
第五期八股文巴拉巴拉说(JavaWeb篇)
IT学习小镇
01-15 957
点击上方“蓝字”关注我们1Q:什么要使用 PreparedStatement?1、PreparedStatement 接口继承 Statement,PreparedStatement 实例...
Java面试八股文 2021年最新Java面试题及答案汇总
m0_67402125的博客
08-01 224
String和StringBuffer、StringBuilder的区别在于String声明的是不可变的对象,每次操作都会生成新的String对象,然后将指针指向新的String对象,而StringBuffer、StringBuilder可以在原有对象的基础上进行操作,所以在经常改变字符串内容的情况下最好不要使用String。不一样,因为内存的分配方式不一样。在定义功能时,功能的一部分是确定的,有一部分是不确定的,而且确定的部分在使用不确定的部分,可将不确定的部分暴露出去,由该类的子类去完成。...
前端八股文(持续更新)
qq_41033258的博客
02-20 1950
想到什么写什么,就不分类了,大家就当随机提问把! JS闭包 原型与原型链 TCP三次握手,四次挥手 输入url到页面加载完成发生了什么? 数组去重的方法 let const var区别 箭头函数与普通函数的区别 vue生命周期 vue与react的区别 防抖与节流 清除浮动的方法 css实现垂直居中 http和https的区别 ...
WebServer -- 八股(终章)
IT OR 考公?
03-15 2517
一点点图解
webserver】 C++ 项目webserver面试八股总结(二)
m0_51319352的博客
03-21 2846
C++ webserver 常见面试八股总结第二弹!
web前端面试八股文汇总
02-20
以下是一些常见的前端面试八股文汇总: 1. HTML相关: - 介绍一下HTML5的新特性。 - 什么是语义化的HTML? - 请解释一下HTML元素的块级元素和内联元素的区别。 2. CSS相关: - 介绍一下CSS盒模型。 - 请解释...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值