jsp 和 servlet 有什麼不同？ ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?中上建立「建議學(xué)習(xí)：java常見的面試題#)

jsp經(jīng)編譯後就變成了Servlet.java常見的面試題

)

##jsp經(jīng)典，本質(zhì)上變成了Servlet.（JjavaSP的Servlet.辨識(shí)JSP的程式碼，Web容器將JSP的程式碼編譯成JVM能夠辨識(shí)的java類別）

jsp更擅長(zhǎng)表現(xiàn)於頁(yè)面顯示，servlet更擅長(zhǎng)於邏輯控制。

Servlet中沒有內(nèi)建對(duì)象，Jsp中的內(nèi)建物件都是必須透過HttpServletRequest對(duì)象，HttpServletResponse物件以及HttpServlet物件得到。

Jsp是Servlet的一種簡(jiǎn)化，使用Jsp只需要完成程式設(shè)計(jì)師需要輸出到客戶端的內(nèi)容，Jsp中的Java腳本如何鑲嵌到一個(gè)類別中，由Jsp容器完成。而Servlet則是個(gè)完整的Java類，這個(gè)類別的Service方法用來(lái)產(chǎn)生對(duì)客戶端的回應(yīng)。

jsp 有哪些內(nèi)建物件？作用分別是什麼？

JSP有9個(gè)內(nèi)建物件：

request：封裝客戶端的請(qǐng)求，其中包含來(lái)自GET或POST請(qǐng)求的參數(shù)；

response：封裝伺服器對(duì)客戶端的回應(yīng)；

pageContext：透過該物件可以取得其他物件；

session：封裝使用者會(huì)話的物件；

application：封裝伺服器運(yùn)行環(huán)境的物件；

out：輸出伺服器回應(yīng)的輸出流物件；

config：Web應(yīng)用的設(shè)定物件；

page：JSP頁(yè)面本身（相當(dāng)於Java程式中的this）；

exception：封裝頁(yè)面拋出例外的物件。

說一下 jsp 的 4 種作用域？

JSP中的四個(gè)作用域包括page、request、session和application，具體來(lái)說：

page代表與一個(gè)頁(yè)面相關(guān)的物件和屬性。

request代表與Web客戶機(jī)發(fā)出的一個(gè)請(qǐng)求相關(guān)的物件和屬性。一個(gè)請(qǐng)求可能跨越多個(gè)頁(yè)面，涉及多個(gè)Web元件；需要在頁(yè)面顯示的臨時(shí)資料可以置於此作用域。

session代表與某個(gè)使用者與伺服器建立的一次會(huì)話相關(guān)的物件和屬性。跟某個(gè)使用者相關(guān)的資料應(yīng)該放在使用者自己的session中。

application代表與整個(gè)Web應(yīng)用程式相關(guān)的物件和屬性，它實(shí)質(zhì)上是跨越整個(gè)Web應(yīng)用程序，包括多個(gè)頁(yè)面、請(qǐng)求和會(huì)話的一個(gè)全域作用域。

session 和 cookie 有什麼不同？

由於HTTP協(xié)定是無(wú)狀態(tài)的協(xié)議，所以當(dāng)服務(wù)端需要記錄用戶的狀態(tài)時(shí)，就需要用某種機(jī)制來(lái)識(shí)具體的用戶，這個(gè)機(jī)制就是Session.典型的場(chǎng)景例如購(gòu)物車，當(dāng)你點(diǎn)擊下單按鈕時(shí)，由於HTTP協(xié)議無(wú)狀態(tài)，所以並不知道是哪個(gè)用戶操作的，所以服務(wù)端要為特定的用戶創(chuàng)建了特定的Session，用用於標(biāo)識(shí)這個(gè)用戶，並且跟蹤用戶，這樣才知道購(gòu)物車裡面有幾本書。

這個(gè)Session是保存在服務(wù)端的，有一個(gè)唯一識(shí)別。在服務(wù)端保存Session的方法很多，記憶體、資料庫(kù)、檔案都有。

集群的時(shí)候也要考慮Session的轉(zhuǎn)移，在大型的網(wǎng)站，一般會(huì)有專門的Session伺服器集群，用來(lái)保存用戶會(huì)話，這個(gè)時(shí)候Session 信息都是放在內(nèi)存的，使用一些緩存服務(wù)例如Memcached之類的來(lái)放Session。

思考一下服務(wù)端如何辨識(shí)特定的客戶？

這時(shí)候Cookie就登場(chǎng)了。每次HTTP請(qǐng)求的時(shí)候，客戶端都會(huì)傳送對(duì)應(yīng)的Cookie訊息到服務(wù)端。實(shí)際上大多數(shù)的應(yīng)用程式都是用Cookie 來(lái)實(shí)作Session追蹤的，第一次建立Session的時(shí)候，服務(wù)端會(huì)在HTTP協(xié)定中告訴客戶端，需要在Cookie 裡面記錄一個(gè)Session ID，以後每次要求把這個(gè)會(huì)話ID傳送到伺服器，我就知道你是誰(shuí)了。

有人問，如果客戶端的瀏覽器停用了 Cookie 怎麼辦？

一般這種情況下，會(huì)使用一種稱為URL重寫的技術(shù)來(lái)進(jìn)行會(huì)話跟蹤，即每次HTTP交互，URL後面都會(huì)被附加上一個(gè)諸如sid=xxxxx 這樣的參數(shù)，服務(wù)端據(jù)此來(lái)辨識(shí)使用者。

Cookie其實(shí)還可以用在一些方便使用者的場(chǎng)景下，設(shè)想你某次登陸過一個(gè)網(wǎng)站，下次登入的時(shí)候不想再輸入帳號(hào)了，怎麼辦？

這個(gè)訊息可以寫到Cookie裡面，造訪網(wǎng)站的時(shí)候，網(wǎng)站頁(yè)面的腳本可以讀取這個(gè)訊息，就自動(dòng)幫你把使用者名稱填入了，能夠方便一下使用者。這也是Cookie名稱的由來(lái)，給使用者的一點(diǎn)甜頭。

所以，總結(jié)一下：

###Session是在服務(wù)端保存的資料結(jié)構(gòu)，用來(lái)追蹤使用者的狀態(tài)，這個(gè)資料可以保存在叢集、資料庫(kù)、文件中；###

Cookie是客戶端保存使用者資訊的一種機(jī)制，用來(lái)記錄使用者的一些訊息，也是實(shí)現(xiàn)Session的一種方式。

說一下 session 的工作原理？

其實(shí)session是一個(gè)存在伺服器上的類似一個(gè)散列表格的檔案。裡面存有我們需要的訊息，在我們需要用的時(shí)候可以從裡面取出。

類似一個(gè)大號(hào)的map吧，裡面的鍵存儲(chǔ)的是用戶的sessionid，用戶向伺服器發(fā)送請(qǐng)求的時(shí)候會(huì)帶上這個(gè)sessionid。這時(shí)就可以從中取出對(duì)應(yīng)的數(shù)值了。

如果客戶端禁止 cookie 能實(shí)現(xiàn) session 還能用嗎？

Cookie與 Session，一般認(rèn)為是兩個(gè)獨(dú)立的東西，Session採(cǎi)用的是在伺服器端保持狀態(tài)的方案，而Cookie採(cǎi)用的是在客戶端保持狀態(tài)的方案。

但為什麼停用Cookie就不能得到Session呢？

因?yàn)镾ession是用Session ID來(lái)確定目前對(duì)話所對(duì)應(yīng)的伺服器Session，而Session ID是透過Cookie來(lái)傳遞的，禁用Cookie相當(dāng)於失去了Session ID，也就不會(huì)得到Session了。

假設(shè)使用者在關(guān)閉Cookie的情況下使用Session，其實(shí)作途徑有以下幾種：

設(shè)定php.ini設(shè)定檔中的「session.use_trans_sid = 1 ”，或編譯時(shí)開啟了“--enable-trans-sid”選項(xiàng)，讓PHP自動(dòng)跨頁(yè)傳遞Session ID。

手動(dòng)透過URL傳值、隱藏表單傳遞Session ID。

用檔案、資料庫(kù)等形式保存Session ID，在跨頁(yè)過程中手動(dòng)呼叫。

spring mvc 和 struts 的差別是什麼？

攔截機(jī)制的不同

Struts2是類別層級(jí)的攔截，每次要求就會(huì)建立一個(gè)Action，和Spring整合時(shí)Struts2的ActionBean注入作用域是原型模式prototype，然後透過setter，getter吧request資料注入到屬性。

Struts2中，一個(gè)Action對(duì)應(yīng)一個(gè)request，response上下文，在接收參數(shù)時(shí)，可以透過屬性接收，這表示屬性參數(shù)是讓多個(gè)方法共享的。

Struts2中Action的一個(gè)方法可以對(duì)應(yīng)一個(gè)url，而其類別屬性卻被所有方法共享，這也就無(wú)法用註解或其他方式標(biāo)識(shí)其所屬方法了，只能設(shè)計(jì)為多例。

SpringMVC是方法層級(jí)的攔截，一個(gè)方法對(duì)應(yīng)一個(gè)Request上下文，所以方法直接基本上是獨(dú)立的，獨(dú)享request，response資料。而每個(gè)方法同時(shí)又何一個(gè)url對(duì)應(yīng)，參數(shù)的傳遞是直接注入到方法中的，是方法所獨(dú)有的。處理結(jié)果透過ModeMap傳回給框架。

在Spring整合時(shí)，SpringMVC的Controller Bean預(yù)設(shè)單例模式Singleton，所以預(yù)設(shè)對(duì)所有的請(qǐng)求，只會(huì)創(chuàng)建一個(gè)Controller，有應(yīng)為沒有共享的屬性，所以是線程安全的，如果要改變預(yù)設(shè)的作用域，需要加入@Scope註解修改。

Struts2有自己的攔截Interceptor機(jī)制，SpringMVC這是用的是獨(dú)立的Aop方式，這樣導(dǎo)致Struts2的設(shè)定檔量還是比SpringMVC大。

底層框架的不同

Struts2採(cǎi)用Filter（StrutsPrepareAndExecuteFilter）實(shí)現(xiàn)，SpringMVC（DispatcherServlet）則採(cǎi)用Servlet實(shí)作。 Filter在容器啟動(dòng)之後即初始化；服務(wù)停止以後墜毀，晚於Servlet。 Servlet在呼叫時(shí)初始化，先於Filter調(diào)用，服務(wù)停止後銷毀。

效能方面

Struts2是類別層級(jí)的攔截，每次要求對(duì)應(yīng)實(shí)例一個(gè)新的Action，需要載入所有的屬性值注入，SpringMVC實(shí)作了零配置，由於SpringMVC基於方法的攔截，因此有加載一次單例模式bean注入。所以，SpringMVC開發(fā)效率和效能高於Struts2。

配置方面

spring MVC和Spring是無(wú)縫的。從這個(gè)專案的管理和安全上也比Struts2高。

如何避免 sql 注入？

PreparedStatement（簡(jiǎn)單又有效的方法）

使用正規(guī)表示式過濾傳入的參數(shù)

字串過濾

JSP中調(diào)用函數(shù)檢查是否包函非法字元

JSP頁(yè)面判斷程式碼

什麼是XSS 攻擊，如何避免？

XSS攻擊又稱CSS,全名為Cross Site Script? （跨站腳本攻擊），其原理是攻擊者向有XSS漏洞的網(wǎng)站中輸入惡意的HTML 程式碼，當(dāng)使用者瀏覽網(wǎng)站時(shí)，這段HTML 程式碼會(huì)自動(dòng)執(zhí)行，達(dá)到攻擊的目的。

XSS 攻擊類似於SQL 注入攻擊，SQL注入攻擊中以SQL語(yǔ)句作為用戶輸入，達(dá)到查詢/修改/刪除資料的目的，而在xss攻擊中，透過插入惡意腳本，實(shí)現(xiàn)對(duì)用戶遊覽器的控制，取得使用者的一些資訊。 XSS是 Web 程式中常見的漏洞，XSS 屬於被動(dòng)式且用於客戶端的攻擊方式。

XSS防範(fàn)的整體思路是：對(duì)輸入(和URL參數(shù))進(jìn)行過濾，對(duì)輸出進(jìn)行編碼。

什麼是 CSRF 攻擊，如何避免？

CSRF（Cross-site request forgery）也被稱為 one-click attack或 session riding，中文全稱是叫跨站請(qǐng)求偽造。一般來(lái)說，攻擊者透過偽造用戶的瀏覽器的請(qǐng)求，向訪問一個(gè)用戶自己曾經(jīng)認(rèn)證訪問過的網(wǎng)站發(fā)送出去，使目標(biāo)網(wǎng)站接收並誤以為是用戶的真實(shí)操作而去執(zhí)行命令。

常用於盜取帳號(hào)、轉(zhuǎn)帳、發(fā)送假訊息等。攻擊者利用網(wǎng)站對(duì)請(qǐng)求的驗(yàn)證漏洞而實(shí)現(xiàn)這樣的攻擊行為，網(wǎng)站能夠確認(rèn)請(qǐng)求來(lái)自使用者的瀏覽器，卻無(wú)法驗(yàn)證請(qǐng)求是否源自於使用者的真實(shí)意願(yuàn)下的操作行為。

如何避免：

1.驗(yàn)證HTTP Referer 欄位

HTTP頭中的Referer欄位記錄了該HTTP 請(qǐng)求的來(lái)源位址。在通常情況下，訪問一個(gè)安全受限頁(yè)面的請(qǐng)求來(lái)自於同一個(gè)網(wǎng)站，而如果駭客要對(duì)其實(shí)施 CSRF

#攻擊，他一般只能在他自己的網(wǎng)站建構(gòu)請(qǐng)求。因此，可以透過驗(yàn)證Referer值來(lái)防禦CSRF 攻擊。

2. 使用驗(yàn)證碼

關(guān)鍵操作頁(yè)面加上驗(yàn)證碼，後臺(tái)收到請(qǐng)求後透過判斷驗(yàn)證碼可以防禦CSRF。但這種方法對(duì)使用者不太友善。

3. 在請(qǐng)求位址中新增token並驗(yàn)證

CSRF 攻擊之所以能夠成功，是因?yàn)轳斂涂梢酝耆珎卧焓褂谜叩恼?qǐng)求，該請(qǐng)求中所有的使用者驗(yàn)證資訊都是存在於cookie中，因此駭客可以在不知道這些驗(yàn)證資訊的情況下直接利用使用者自己的cookie 來(lái)通過安全驗(yàn)證。要抵禦 CSRF，關(guān)鍵在於在請(qǐng)求中放入駭客所不能偽造的信息，並且該信息不存在於 cookie 之中。

可以在HTTP 請(qǐng)求中以參數(shù)的形式加入一個(gè)隨機(jī)產(chǎn)生的token，並在伺服器端建立一個(gè)攔截器來(lái)驗(yàn)證這個(gè)token，如果請(qǐng)求中沒有token或token 內(nèi)容不正確，則認(rèn)為可能是CSRF 攻擊而拒絕該請(qǐng)求。

這種方法要比檢查Referer 要安全一些，token 可以在用戶登陸後產(chǎn)生並放於session之中，然後在每次請(qǐng)求時(shí)把token 從session 中拿出，與請(qǐng)求中的token進(jìn)行比對(duì)，但這種方法的困難在於如何把token 以參數(shù)的形式加入請(qǐng)求。

對(duì)於 GET 要求，token 會(huì)附在請(qǐng)求位址之後，這樣 URL 就會(huì)變成 http://url?csrftoken=tokenvalue。

而對(duì)於POST 請(qǐng)求來(lái)說，要在form 的最後加上，這樣就把token以參數(shù)的形式加入請(qǐng)求了。

4. 在HTTP 頭中自訂屬性並驗(yàn)證

這種方法也是使用token 並進(jìn)行驗(yàn)證，和上一個(gè)方法不同的是，這裡並不是把token 以參數(shù)的形式置於HTTP 請(qǐng)求之中，而是把它放到HTTP 頭中自訂的屬性裡。

透過 XMLHttpRequest 這個(gè)類，可以一次給所有該類請(qǐng)求加上 csrftoken 這個(gè) HTTP 頭屬性，並把 token 值放入其中。

這樣解決了上種方法在請(qǐng)求中加入token 的不便，同時(shí)，透過XMLHttpRequest 請(qǐng)求的位址不會(huì)被記錄到瀏覽器的位址欄，也不用擔(dān)心token 會(huì)透過Referer 洩漏到其他網(wǎng)站中去。

以上是Java Web常見面試題的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！