1. JSP和Servlet有什么区别
JSP是Servlet技术的扩展,本质上就是servlet的简易方式,servlet与Jsp最主要的不同点在于,servlet的应用逻辑在java文件中,并且从表示层中的html里分离出来,而JSP的情况是java和html可以组合成一个扩展名为jsp的文件。Jsp侧重于视图,servlet主要用于控制逻辑
2. JSP有哪些内置对象?作用是什么?
JSP有九大内置对象:
-
request:封装客户端的请求,其中包含来自get或post请求的参数
-
response:封装服务端对客户端的响应
-
pageContext:通过该对象可以获取其他对象
-
session:封装用户会话的对象
-
application:封装服务器运行环境的对象
-
out:输出服务器响应的输出流对象
-
config:Web应用的配置对象
-
page:JSP页面本身
-
exception:封装页面抛出异常的对象
3. 说一下JSP的四种作用域
-
page:代表一个页面相关的对象和属性
-
request:代表与客户端发出的一个请求相关的对象和属性,一个请求可能跨越多个页面,涉及多个web组件,需要在页面显示的临时数据可以置于此作用域
-
session:代表与某个用户与服务器建立的一次会话相关的对象和属性。跟某个用户相关的数据应该放在用户自己的session中
-
application:代表与整个web应用程序相关的对象和属性,它实质上是跨越整个web应用程序,包括多个页面、请求和会话的一个全局作用域
4. session和cookie有什么区别
-
储存位置不同:session存储在服务器端,cookie存储在浏览器端
-
安全性不同:cookie安全性一般,在浏览器储存,可以被伪造和修改
-
容量和个数限制:cookie有容量限制,每个站点下的cookie也有个数限制
-
存储的多样性:session可以存储在Redis中,数据库中,应用程序中,而cookie只能存储在浏览器中
5. session的工作原理
session的工作原理是客户端登录完成之后,服务器会创建对应的session,session创建完之后,会把session的id发给客户端,客户端再存储在服务器中。这样客户端每次访问服务器时,都会带着sessionid,服务器拿到sessionid之后,在内存找到与之对应的sessionid就可以正常工作了
6. 如果客户端禁止cookie,session还能用吗?
可以用,session只是依赖cookie存储sessionid,如果cookie被禁用了,可以使用url中添加sessionid的方式保证session能正常运行
7. spring mvc 和 struts 的区别是什么?
-
拦截级别:struts2 是类级别的拦截;spring mvc 是方法级别的拦截。
-
数据独立性:spring mvc 的方法之间基本上独立的,独享 request 和 response 数据,请求数据通过参数获取,处理结果通过 ModelMap 交回给框架,方法之间不共享变量;而 struts2 虽然方法之间也是独立的,但其所有 action 变量是共享的,这不会影响程序运行,却给我们编码和读程序时带来了一定的麻烦。
-
拦截机制:struts2 有以自己的 interceptor 机制,spring mvc 用的是独立的 aop 方式,这样导致struts2 的配置文件量比 spring mvc 大。
-
对 ajax 的支持:spring mvc 集成了ajax,所有 ajax 使用很方便,只需要一个注解 @ResponseBody 就可以实现了;而 struts2 一般需要安装插件或者自己写代码才行。
8. 如何避免SQL注入?
-
使用预处理PreparedStatement
-
使用正则表达式过滤掉字符中的特殊字符
9. 什么是 XSS 攻击,如何避免?
XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。
预防 XSS 的核心是必须对输入的数据做过滤处理。
10. 什么是 CSRF 攻击,如何避免?
CSRF:Cross-Site Request Forgery(中文:跨站请求伪造),可以理解为攻击者盗用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件、发消息、购买商品,虚拟货币转账等。
防御手段:
-
验证请求来源地址;
-
关键操作添加验证码;
-
在请求地址添加 token 并验证。