Java 面试整理(二)

Java-Web

你怎么理解cookie和session，有哪些不同点?

1、cookie数据存放在客户的浏览器上，session数据放在服务器上。

2、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie。

4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

5、可以考虑将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie中。

什么是web缓存?有什么优点?

Web缓存游走于服务器和客户端之间。这个服务器可能是源服务器(资源所驻留的服务器Add)，数量可能是1个或多个;这个客户端也可能是1个或多个。Web缓存就在服务器-客户端之间搞监控，监控请求，并且把请求输出的内容(例如html页面、 图片和文件)(统称为副本)另存一份;然后，如果下一个请求是相同的URL，则直接请求保存的副本，而不是再次麻烦源服务器。

使用缓存的2个主要原因:

降低延迟：缓存离客户端更近，因此，从缓存请求内容比从源服务器所用时间更少，呈现速度更快，网站就显得更灵敏。

降低网络传输：副本被重复使用，大大降低了用户的带宽使用，其实也是一种变相的省钱(如果流量要付费的话)，同时保证了带宽请求在一个低水平上，更容易维护了。

简述Servlet与JSP的关系

最重要的一点就是JSP就是servlet,jsp继承了servlet。

session共享有哪些方案?

1､rediss实现共享

2､服务器插件复制

3､文件服务器共享

4､cookie+鉴权中心

5､cookie加密存储

什么是过滤器、拦截器、监听器，它们的顺序是怎样的?

监听器> 过滤器 > 拦截器

servlet3.0有哪些新规范?

1､注解支持;Servlet、Filter、Listener无需在web.xml中进行配置，可以通过对应注解进行配置;

2.支持Web模块;

3.Servlet异步处理;

4.文件上传API简化

Servlet3.0规范

常见的攻击手段有哪些?如何防范?

1､SQL注入攻击。通过预编译PrepareStatement，规范sql习惯尽量不要用in等。in 操作，使用了预编译，还是仍然还是通过字符串拼接。 Web端有效性检验。限制字符串输入的长度，服务端不用拼接SQL字符串。

2､XSS跨站点脚本攻击。前端服务端，同时需要字符串输入的长度限制。前端服务端，同时需要对HTML转义处理。将其中的”<”,”>”等特殊字符进行转义编码。

3､CSRF攻击。token机制。在HTTP请求中进行token验证，如果请求中没有token或者token内容不正确，则认为CSRF攻击而拒绝该请求。 验证码。通常情况下，验证码能够很好的遏制CSRF攻击，但是很多情况下，出于用户体验考虑，验证码只能作为一种辅助手段，而不是最主要的解决方案。 referer识别。在HTTP Header中有一个字段Referer，它记录了HTTP请求的来源地址。如果Referer是其他网站，就有可能是CSRF攻击，则拒绝该请求。

4､文件上传漏洞。 对上传的文件类型进行白名单校验，只允许上传可靠类型。 上传的文件需要进行重新命名，使攻击者无法猜想上传文件的访问路径，将极大地增加攻击成本，同时向shell.php.rar.ara这种文件，因为重命名而无法成功实施攻击。 限制上传文件的大小。 单独设置文件服务器的域名。访问控制，一般来说，“基于URL的访问控制”是最常见的。

RESTFUL API 有哪些设计原则?

1､协议。API与用户的通信协议，总是使用HTTPs协议。2.域名。应该尽量将API部署在专用域名之下。如果确定API很简单，不会有进一步扩展，可以考虑放在主域名下。

3､版本(Versioning。应该将API的版本号放入URL。

4.路径。路径又称"终点"(endpoint)，表示API的具体网址。在RESTful架构中，每个网址代表一种资源(resource)，所以网址中不能有动词，只能有名词，而且所用的名词往往与数据库的表格名对应。一般来说，数据库中的表都是同种记录的"集合"(collection)，所以API中的名词也应该使用复数。

5.HTTP动词。对于资源的具体操作类型，由HTTP动词表示。

6.过滤信息。如果记录数量很多，服务器不可能都将它们返回给用户。API应该提供参数，过滤返回结果。

7.状态码。服务器向用户返回的状态码和提示信息。

8.错误处理。如果状态码是4xx，就应该向用户返回出错信息。一般来说，返回的信息中将error作为键名，出错信息作为键值即可。

9.返回结果要预期类型。

10.Hypermedia API。ESTful API最好做到Hypermedia，即返回结果中提供链接，连向其他API方法，使得用户不查文档，也知道下一步应该做什么。

11.服务器返回的数据格式，应该尽量使用JSON，避免使用XML。