编程小白：第五章，Jweb基础理论知识

四、Java Web

1，jsp 和 servlet 有什么区别？

jsp和servlet的区别和联系：

1.jsp经编译后就变成了Servlet.(JSP的本质就是Servlet，JVM只能识别java的类，不能识别JSP的代码,Web容器将JSP的代码编译成JVM能够识别的java类)

2.jsp更擅长表现于页面显示,servlet更擅长于逻辑控制.

3.Servlet中没有内置对象，Jsp中的内置对象都是必须通过HttpServletRequest对象，HttpServletResponse对象以及HttpServlet对象得到.

Jsp是Servlet的一种简化，使用Jsp只需要完成程序员需要输出到客户端的内容，Jsp中的Java脚本如何镶嵌到一个类中，由Jsp容器完成。而Servlet则是个完整的Java类，这个类的Service方法用于生成对客户端的响应。

联系：  JSP是Servlet技术的扩展，本质上就是Servlet的简易方式。JSP编译后是“类servlet”。Servlet和JSP最主要的不同点在于，Servlet的应用逻辑是在Java文件中，并且完全从表示层中的HTML里分离开来。而JSP的情况是Java和HTML可以组合成一个扩展名为.jsp的文件。JSP侧重于视图，Servlet主要用于控制逻辑

 

 

2，jsp 有哪些内置对象？作用分别是什么？

jsp共有以下9个内置对象:

    1.request  客户端请求,此请求会包含GET/POST请求的参数

    2.response  网页传回客户端的回应

    3.pageContext  网页的属性是在这里管理

    4.session  请求有关的会话期

    5.application  servlet正在执行的内容

    6.out  用来传送回应的输出

    7.config  servlet的架构部分

    8.page  jsp页面网页本身

9.exception  针对错误网页,未捕捉的例外

 

作用如下：

request表示HttpServletRequest对象。它包含了有关浏览器请求的信息,并且提供了几个用于获取cookie,header和session数据的有用的方法。

response表示HttpServletResponse对象,并提供了几个用于设置送回浏览器的响应的方法(如cookies,头信息等)。

out对象是javax.jsp.JspWriter的一个实例,并提供了几个方法使你能用于向浏览器回送输出结果。

pageContext表示一个javax.servlet.jsp.PageContext对象,它是用于方便存取各种范围的名字空间,servlet相关的对象API,并且包装了通用的servlet相关功能的方法。

session表示一个请求的javax.servlet.http.HttpSession对象,Session

可以存储用户的状态信息。

application表示一个javax.servlet.ServletContext对象,这有助于查询有关servlet引擎和servlet环境的信息。

config表示一个javax.servlet.ServletConfig对象,该对象用于存取servlet实例的初始化参数。

page表示从该页面产生的一个servlet实例。

 

 

 

3.说一下 jsp 的 4 种作用域？

JSP的四种范围，分别为page,request,session,application可以用setAttribute("",""); getAttribute("","");

 

Web交互的最基本单位为HTTP请求。每个用户从进入网站到离开网站这段过程称为一个HTTP会话，一个服务器的运行过程中会有多个用户访问，就是多个HTTP会话。作用域解释如下。

1.application：服务器启动到停止这段时间。Application 的作用范围在服务器一开始执行服务，到服务器关闭为止Application 的范围最、停留的时间也最久，所以使用时要特别注意不然可能会造成服务器负载越来越重的情况。只要将数据存入application对象，数据的范围范围 (Scope) 就为Application ；

application作用域上的信息传递是通过ServletContext实现的，它提供的主要方法如下所示：

       Object getAttribute（String name）：从application中获取信息。

      void setAttribute（String name, Object value）：向application作用域中设置信息。

 

 

2.session：HTTP会话开始到结束这段时间。Session 的作用范围为一段用户持续和服务器所连接的时间，但与服务 器断线 ，这个属性就无效。只要将数据存入session对象，数据的范围就为Session；

session是通过HttpSession接口实现的，它提供的主要方法如下所示。

Object HttpSession.getAttribute（String name）：从session中获取信息。

void HttpSession.setAttribute（String name, Object value）：向session中保存信息。

HttpSession HttpServletRequest.getSessio()：获取当前请求所在的session的对象。

session的开始时刻比较容易判断，它从浏览器发出第一个HTTP请求即可认为会话开始。但结束时刻就不好判断了，因为浏览器关闭时并不会通知服务器，所以只能通过如下这种方法判断：如果一定的时间内客户端没有反应，则认为会话结束。Tomcat的默认值为120分钟，但这个值也可以通过HttpSession的setMaxInactiveInterval()方法来设置：

 

3.request：HTTP请求开始到结束这段时间。Request 的范围是指在一JSP 网页发出请求到另一个JSP 网页之间，随 这个属性就失效。设定Request 的范围时可利用request 对象中的setAttribute( )和getAttribute( )；

一个HTTP请求的处理可能需要多个Servlet合作，而这几个Servlet之间可以通过某种方式传递信息，但这个信息在请求结束后就无效了。

Servlet之间的信息共享是通过HttpServletRequest接口的两个方法来实现的。

void setAttribute（String name, Object value）：将对象value以name为名称保存到request作用域中。

Object getAttribute（String name）：从request作用域中取得指定名字的信息。

JSP中的doGet()、doPost()方法的第一个参数就是HttpServletRequest对象，使用这个对象的 setAttribute()方法即可传递信息。

那么在设置好信息之后，要通过何种方式将信息传给其他的Servlet呢？这就要用到RequestDispatcher接口的forward()方法，通过它将请求转发给其他Servlet。

RequestDispatcher ServletContext.getRequestDispatcher(String path)：取得Dispatcher以便转发。path为转发的目的Servlet。

void RequestDispatcher.forward(ServletRequest request, ServletResponse response)：将request和response转发。

因此，只需要在当前Servlet中先通过setAttribute()方法设置相应的属性，然后使用forward()方法进行跳转，最后在跳转到的Servlet中通过使用getAttribute()方法即可实现信息传递。

 

4.page：当前页面从打开到关闭这段时间。标名pageContext.setAttribute("","");它只能在同一个页面中有效；

request和page的生命周期都是短暂的，它们之间的区别：一个request可以包含多个page页（include，forward及filter）

为了避免与Servlet API耦合在一起，方便Action类做单元测试，Struts 2对HttpServletRequest、HttpSession和ServletContext进行了封装，构造了三个Map对象来替代这三种对象，在Action中，直接使用HttpServletRequest、HttpSession和ServletContext对应的Map对象来保存和读取数据。

要获取这三个Map对象，可以使用com.opensymphony.xwork2.ActionContext类，ActionContext是action执行的上下文，在ActionContext中保存了action执行所需的一组对象，包括parameters、request、session、application和locale等。ActionContext类定义了如下方法，用于获取HttpServletRequest、HttpSession和ServletContext对应的Map对象。

 

 

 

4. session 和 cookie 有什么区别？

cookie

保存在客户端，未设置存储时间的cookie为会话cookie保存在浏览器的进程开辟的内存中，当浏览器关闭后会话cookie也会被删除；设置了存储时间的cookie保存在用户设备的磁盘中直到过期。

session

保存在服务器端，存储在IIS的进程开辟的内存中。

总结：

Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中。

Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。

cookie和session的区别总结：

1：cookie数据存放再浏览器中，session储存再服务器中。

2：cookie安全性不高，别人可以分析存放在本地的cookie并进行cookie欺骗。

3：session访问增多，会比较占用服务器的性能。

4：单个cookie保存的数据不会超过4k。

5：可以考虑将登陆信息等重要信息存放为session，其他信息需要保留，可以存放在cookie中。

 

 

5.说一下 session 的工作原理？
（1）当一个session第一次被启用时，一个唯一的标识被存储于本地的cookie中。
（2）首先使用session_start()函数，PHP从session仓库中加载已经存储的session变量。
（3）当执行PHP脚本时，通过使用session_register()函数注册session变量。
（4）当PHP脚本执行结束时，未被销毁的session变量会被自动保存在本地一定路径下的session库中，这个路径可以通过php.ini文件中的session.save_path指定，下次浏览网页时可以加载使用。

 

 

6.如果客户端禁止 cookie 能实现 session 还能用吗？

Cookie与 Session，一般认为是两个独立的东西，Session采用的是在服务器端保持状态的方案，而Cookie采用的是在客户端保持状态的方案。但为什么禁用Cookie就不能得到Session呢？因为Session是用Session ID来确定当前对话所对应的服务器Session，而Session ID是通过Cookie来传递的，禁用Cookie相当于失去了Session ID，也就得不到Session了。

 

可以通过下三种方式来获取：

    1. 设置php.ini配置文件中的“session.use_trans_sid = 1”，或者编译时打开打开了“--enable-trans-sid”选项，让PHP自动跨页传递Session ID。
       2. 手动通过URL传值、隐藏表单传递Session ID。
       3. 用文件、数据库等形式保存Session ID，在跨页过程中手动调用。

 

 

7.spring mvc 和 struts 的区别是什么？

springmvc与struts2不同

springmvc的入口是一个servlet即前端控制器，而struts2入口是一个filter过虑器。

springmvc是基于方法开发(一个url对应一个方法)，请求参数传递到方法的形参，可以设计为单例或多例(建议单例)，struts2是基于类开发，传递参数是通过类的属性，只能设计为多例。

 

Struts采用值栈存储请求和响应的数据，通过OGNL存取数据， springmvc通过参数解析器是将request请求内容解析，并给方法形参赋值，将数据和视图封装成ModelAndView对象，最后又将ModelAndView中的模型数据通过reques域传输到页面。Jsp视图解析器默认使用jstl。

 

springmvc与struts2有什么区别?

1. 底层实现机制

struts2:filter

springmvc:servlet

2. 运行效率

struts2:底层是Servlet,参数基于属性封装,如果配置单例,会出现线程安全问题,所以配置多例，springmvc:底层是Servlet,单例

3. 参数封装

struts2:基于属性封装

springmvc:基于方法进行封装

 

 

8.如何避免 sql 注入？

1. （简单又有效的方法）PreparedStatement 
   采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。 
2. 使用正则表达式过滤传入的参数 

3.字符串过滤 

4.jsp中调用该函数检查是否包函非法字符

防止SQL从URL注入： 

5.JSP页面判断代码：

使用javascript在客户端进行不安全字符屏蔽 
功能介绍：检查是否含有”‘”,”\”,”/” 

 

 

9.什么是 XSS 攻击，如何避免？

     XSS攻击又称CSS,全称Cross Site Script  （跨站脚本攻击），其原理是攻击者向有XSS漏洞的网站中输入恶意的 HTML 代码，当用户浏览该网站时，这段 HTML 代码会自动执行，从而达到攻击的目的。XSS 攻击类似于 SQL 注入攻击，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户游览器的控制，获取用户的一些信息。 XSS是 Web 程序中常见的漏洞，XSS 属于被动式且用于客户端的攻击方式。

xss攻击可以分成两种类型：一种是非持久型XSS攻击 一种是持久型XSS攻击

非持久型xss攻击：顾名思义，非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。

持久型xss攻击：持久型xss，会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

 

解决方法：

1.利用 php htmlentities()函数对传入参数的非法的 HTML 代码包括单双引号等进行转义。但是，中文情况下, htmlentities() 却会转化所有的 html 代码，连同里面的它无法识别的中文字符也给转化了。

2.利用 php htmlspecialchars()函数对传入参数的非法的 HTML 代码包括单双引号等进行转义，需要注意的是第二个参数默认是 ENT_COMPAT，函数默认只是转化双引号(")，不对单引号(')做转义。更多的时候要加上第二个参数，应该这样用 : htmlspecialchars($string,ENT_QUOTES)对单双引号都进行转义。如果需要不转化任何的引号第二个参数使用ENT_NOQUOTES。

3.通过正则表达式过滤传入参数的html标签来防范XSS攻击

 

 

10. 什么是 CSRF 攻击，如何避免？

CSRF(Cross Site Request Forgeries)，意为跨网站请求伪造，也有写为XSRF。攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请 求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法 权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。

的防范方法有下面几种:
**1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST，不要使用GET**