qq_43510829的博客

面试被问了无数次，值得总结一番主要有以下三种方式Cookie + Session 登录Token 登录SSO 单点登录Session 登录初识HTTP 是无状态协议，每次和后端重新建立连接的话，后端无法判断请求是否每次来自于同一个用户，所以诞生了 cookie，会随 HTTP 请求一起发送cookie 携带了用户信息，但后端还需要验证，得通过 session 对象。而 session 存储了一些用户信息，存在后端是避免前端存储敏感数据。通常存在缓存里，比如 jvm 本地缓存、red.

什么是 XSS 攻击？全称 Cross-Site Scripting 跨站脚本攻击，简写为了避免和 CSS 冲突而改成 XSS原理：通过在浏览器可输入的地方（比如评论栏、搜索栏、地址栏等）注入脚本（JS、HTML 代码块等），获取用户的 cookie、sessionID 等信息，从而对网站数据造成破坏或者窃取。常见注入方式这样说可能有些不好理解，没关系，先留个印象，看后续实例就好注入的代码可执行，从而产生效果在 HTML 内嵌的文本中，以 script 标签形式注入在内联的 JS 中

牵涉大量信息安全的知识，想真正理解该过程有必要了解下小知识：HTTP 的默认端口为80，HTTPS 的默认端口为443；HTTPS = HTTP + TLS基本加密流程客户端和服务器同意使用 TLS 协议时，通过握手创建安全连接客户端和服务器协商支持的 TLS 版本，和支持的加密方式基于非对称密钥的身份人认证服务端将公钥以证书的形式发送给前端，证书包含服务端的公钥、证书颁发机构、证书有效期、服务端域名等信息客户端接收后，会选择是否信任证书，这里是否信任可依据域名、颁发机构、有效期.

HTTP请求方式、状态码http 是应用层的协议，基于TCP/IP，传输可靠，无状态，但明文传输不安全，复用一个TCP链，会发生拥塞八大请求方式get：获取数据head：请求资源头部信息（场景：在下载一个大文件时先获取其大小再决定是否下载）post：提交数据前三种是 HTTP1.0 定义的，后面五种是 HTTP1.1 新增的put：修改数据delete：删除数据connect：建立连接隧道，用于代理服务器options：发送探测请求，根据地址对应的约束再发送真正的请求（常用于

先上个表格TCPUDP可靠性可靠不可靠连接性面向连接无连接报文面向字节流面向报文效率低高双工性全双工交互式通信流量控制有无拥塞控制有无对应解释只笼统解释，很多细节可以查对应的资料。以下文段用a代指TCP，b代指UDP可靠性可靠性体现在tcp以下具有的特性里面连接性a需要三次握手建立连接，保证双方通讯畅通，数据传输安全而b提供的是 “尽力而为” 的服务，不建立连接，不管接收方的状况，直接发送数据，容

三次握手（建立连接）通俗版本用户（客户端）想访问网页（服务端），给网页发送 “建立连接请求”（一次握手），网页收到消息后，告诉用户 “你的消息我收到了，可以建立连接”（二次握手），用户再发一次消息 “你的消息我也收到了，即将建立连接”（三次握手），然后TCP连接便建立了专业版本（a代指客户端，b代指服务端）初始，a首先处于CLOSE（关闭）状态，b处于LISTEN（收听）状态一次：a发给b一个 “SYN=1，seq=x” 的报文，请求建立连接。x为随机生成的数字，且不为零二次：b接收后