Java 面试整理(二)

Java-Web

你怎么理解cookie和session,有哪些不同点?

1、cookie数据存放在客户的浏览器上,session数据放在服务器上。

2、cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。

4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

5、可以考虑将登陆信息等重要信息存放为session,其他信息如果需要保留,可以放在cookie中。

什么是web缓存?有什么优点?

Web缓存游走于服务器和客户端之间。这个服务器可能是源服务器(资源所驻留的服务器Add),数量可能是1个或多个;这个客户端也可能是1个或多个。Web缓存就在服务器-客户端之间搞监控,监控请求,并且把请求输出的内容(例如html页面、 图片和文件)(统称为副本)另存一份;然后,如果下一个请求是相同的URL,则直接请求保存的副本,而不是再次麻烦源服务器。

使用缓存的2个主要原因:

降低延迟:缓存离客户端更近,因此,从缓存请求内容比从源服务器所用时间更少,呈现速度更快,网站就显得更灵敏。

降低网络传输:副本被重复使用,大大降低了用户的带宽使用,其实也是一种变相的省钱(如果流量要付费的话),同时保证了带宽请求在一个低水平上,更容易维护了。

简述Servlet与JSP的关系

最重要的一点就是JSP就是servlet,jsp继承了servlet。

session共享有哪些方案?

1、rediss实现共享

2、服务器插件复制

3、文件服务器共享

4、cookie+鉴权中心

5、cookie加密存储

什么是过滤器、拦截器、监听器,它们的顺序是怎样的?

监听器> 过滤器 > 拦截器

servlet3.0有哪些新规范?

1、注解支持;Servlet、Filter、Listener无需在web.xml中进行配置,可以通过对应注解进行配置;

2.支持Web模块;

3.Servlet异步处理;

4.文件上传API简化

Servlet3.0规范

常见的攻击手段有哪些?如何防范?

1、SQL注入攻击。通过预编译PrepareStatement,规范sql习惯尽量不要用in等。in 操作,使用了预编译,还是仍然还是通过字符串拼接。 Web端有效性检验。限制字符串输入的长度,服务端不用拼接SQL字符串。

2、XSS跨站点脚本攻击。前端服务端,同时需要字符串输入的长度限制。前端服务端,同时需要对HTML转义处理。将其中的”<”,”>”等特殊字符进行转义编码。

3、CSRF攻击。token机制。在HTTP请求中进行token验证,如果请求中没有token或者token内容不正确,则认为CSRF攻击而拒绝该请求。 验证码。通常情况下,验证码能够很好的遏制CSRF攻击,但是很多情况下,出于用户体验考虑,验证码只能作为一种辅助手段,而不是最主要的解决方案。 referer识别。在HTTP Header中有一个字段Referer,它记录了HTTP请求的来源地址。如果Referer是其他网站,就有可能是CSRF攻击,则拒绝该请求。

4、文件上传漏洞。 对上传的文件类型进行白名单校验,只允许上传可靠类型。 上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本,同时向shell.php.rar.ara这种文件,因为重命名而无法成功实施攻击。 限制上传文件的大小。 单独设置文件服务器的域名。访问控制,一般来说,“基于URL的访问控制”是最常见的。

RESTFUL API 有哪些设计原则?

1、协议。API与用户的通信协议,总是使用HTTPs协议。2.域名。应该尽量将API部署在专用域名之下。如果确定API很简单,不会有进一步扩展,可以考虑放在主域名下。

3、版本(Versioning。应该将API的版本号放入URL。

4.路径。路径又称"终点"(endpoint),表示API的具体网址。在RESTful架构中,每个网址代表一种资源(resource),所以网址中不能有动词,只能有名词,而且所用的名词往往与数据库的表格名对应。一般来说,数据库中的表都是同种记录的"集合"(collection),所以API中的名词也应该使用复数。

5.HTTP动词。对于资源的具体操作类型,由HTTP动词表示。

6.过滤信息。如果记录数量很多,服务器不可能都将它们返回给用户。API应该提供参数,过滤返回结果。

7.状态码。服务器向用户返回的状态码和提示信息。

8.错误处理。如果状态码是4xx,就应该向用户返回出错信息。一般来说,返回的信息中将error作为键名,出错信息作为键值即可。

9.返回结果要预期类型。

10.Hypermedia API。ESTful API最好做到Hypermedia,即返回结果中提供链接,连向其他API方法,使得用户不查文档,也知道下一步应该做什么。

11.服务器返回的数据格式,应该尽量使用JSON,避免使用XML。

你可能感兴趣的:(Java 面试整理(二))