本文围绕Web开发知识展开问答,涵盖JSP与Servlet的区别、JSP内置对象及作用域、Session与Cookie机制、SpringMVC和Struts区别等内容,还介绍了避免SQL注入、XSS攻击、CSRF攻击的方法。
64.jsp和servlet有什么区别
答案:jsp经过编译后就变成了servlet,jsp的本质就是servlet,jvm只能识别java的类,不能识别jsp代码web容器将jsp的代码编译成jvm能识别的jav类.
jsp更擅长表现于页面显示,servlet更擅长于逻辑空值
servlet中没有内置对象,jsp中内置对象都通过httpservletrequest 和httpservletresponse 和httpservlet得到
65.jsp内置对象有那些
答案:9个内置对象
request,封装客户端请求,其中包含来自get或post的请求参数
response,封装服务器对客户端的响应
pageContext,通过该对象可以获取其他对象
session,封装用户会话的对象
application,封装服务器运行环境的对象
out,输出服务器响应的输出流对象
config,web应用的配置对象
page,jsp界面本身
exception,封装界面跑出的异常
66.jsp的4中作用域
答案:jsp中的四中作用域包括
page,代表一个页面相关的对象和属性
request,代表web客户机发出的一个请求相关的对象和属性,一个请求可能跨越多个界面涉及多个web组件,需要在界面显示的临时数据可以放在此作用域
session,代表用户和服务器建立的一次会话和相关的对象属性.
application,代表整个web应用
67.session和cookie
答案: 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个用户,并且跟踪用户,这样才知道购物车里面有几本书。这个Session是保存在服务端的,有一个唯一标识。在服务端保存Session的方法很多,内存、数据库、文件都有。集群的时候也要考虑Session的转移,在大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个时候 Session 信息都是放在内存的,使用一些缓存服务比如Memcached之类的来放 Session。
思考一下服务端如何识别特定的客户?这个时候Cookie就登场了。每次HTTP请求的时候,客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie 来实现Session跟踪的,第一次创建Session的时候,服务端会在HTTP协议中告诉客户端,需要在 Cookie 里面记录一个Session ID,以后每次请求把这个会话ID发送到服务器,我就知道你是谁了。有人问,如果客户端的浏览器禁用了 Cookie 怎么办?一般这种情况下,会使用一种叫做URL重写的技术来进行会话跟踪,即每次HTTP交互,URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数,服务端据此来识别用户。
Cookie其实还可以用在一些方便用户的场景下,设想你某次登陆过一个网站,下次登录的时候不想再次输入账号了,怎么办?这个信息可以写到Cookie里面,访问网站的时候,网站页面的脚本可以读取这个信息,就自动帮你把用户名给填了,能够方便一下用户。这也是Cookie名称的由来,给用户的一点甜头。所以,总结一下:Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。
68.说一下session的工作原理.
答案:session是一个存在服务器上的类似于一个散列表格的文件,里面存有我们需要的讯息,在我们需要用的时候可以从文件里面取出来,类似于一个大号的map吧,里面的键存储的是用户的sessionid 用户向服务器发送请求的时候会带上这个sessionid这时后就可以从中取出对应的值了
69.如果客户端禁止cookie那么session还能用吗
答案:cookie与session一般认为是两个独立的东西,Session采用的的是在服务器段保持状态的方案,而cookie是采用的在客户端保存,为什么禁用cookie就不能得到session了呢,因为session是用sessionid来确定当前会话所对应的服务器session,而session是用过cookie来传递的,禁用cookie相当于失去了sessionid也就得不到session了
70.springmvc和strues的区别
答案:拦截机制的不同Struts2是类级别的拦截,Stringmvc是方法级的拦截
Struts2是intercept拦截机制,Spring是aop拦截机制,所以struts2配置文件大
71.如何避免被sql注入
答案:preparedstatement,mybatis 的sql中使用 #{}
使用正则表达过滤参数
页面中判断传参
72.什么是xss攻击,如何避免
答案:xss又称css跨站脚本攻击,其原理是攻击者向有xss漏洞的网站中输入而已的hml代码,党用户浏览该网站是,这段hml代码会自动执行,从而达到攻击的目的
防范的思路是对输入和url的参数进行过滤对输出进行编码
73.什么是csrf攻击,如何避免
答案:csef叫跨站请求伪造,一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过得网站发送过去,是目标网站接受并误以为是用户真是操作而去执行命令,常用语盗取账号,转账,发送虚假消息,攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器
扫一扫
70万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
