1. JSP 和 servlet 有什么區(qū)別？

JSP 是 servlet 技術(shù)的擴(kuò)展，本質(zhì)上就是 servlet 的簡(jiǎn)易方式。servlet 和 JSP 最主要的不同點(diǎn)在于， servlet 的應(yīng)用邏輯是在 Java 文件中，并且完全從表示層中的 html 里分離開來，而 JSP 的情況是 Java 和 html 可以組合成一個(gè)擴(kuò)展名為 JSP 的文件。JSP 側(cè)重于視圖，servlet 主要用于控制邏輯。

2. 什么是Tomcat？

Tomcat是一個(gè)免費(fèi)的Web應(yīng)用服務(wù)器，Java編寫的Web項(xiàng)目可以部署在上面，用戶在客戶端請(qǐng)求時(shí)，都是將請(qǐng)求發(fā)到Tomcat上，Tomcat在將請(qǐng)求發(fā)到對(duì)應(yīng)的項(xiàng)目上。

3. Tomcat容器是如何創(chuàng)建Servlet類實(shí)例？用到了什么原理？

當(dāng)容器啟動(dòng)時(shí)，會(huì)讀取在webapps目錄下所有的web應(yīng)用中的web.xml文件，然后對(duì)xml文件進(jìn)行解析，并讀取servlet注冊(cè)信息。然后，將每個(gè)應(yīng)用中注冊(cè)的servlet類都進(jìn)行加載，并通過反射的方式實(shí)例化。（有時(shí)候也是在第一次請(qǐng)求時(shí)實(shí)例化）在servlet注冊(cè)時(shí)加上1如果為正數(shù)，則在一開始就實(shí)例化，如果不寫或?yàn)樨?fù)數(shù)，則第一次請(qǐng)求實(shí)例化。

4. 攔截器和過濾器的區(qū)別?

• 攔截器是基于java的反射機(jī)制的，而過濾器是基于函數(shù)回調(diào)。
• 攔截器不依賴與servlet容器，過濾器依賴與servlet容器。
• 攔截器只能對(duì)action請(qǐng)求起作用，而過濾器則可以對(duì)幾乎所有的請(qǐng)求起作用。
• 攔截器可以訪問action上下文、值棧里的對(duì)象，而過濾器不能訪問。
• 在action的生命周期中，攔截器可以多次被調(diào)用，而過濾器只能在容器初始化時(shí)被調(diào)用一次。

5.說一下 JSP 的 4 種作用域？

• page：代表與一個(gè)頁面相關(guān)的對(duì)象和屬性。
• request：代表與客戶端發(fā)出的一個(gè)請(qǐng)求相關(guān)的對(duì)象和屬性。一個(gè)請(qǐng)求可能跨越多個(gè)頁面，涉及多個(gè) Web 組件；需要在頁面顯示的臨時(shí)數(shù)據(jù)可以置于此作用域。
• session：代表與某個(gè)用戶與服務(wù)器建立的一次會(huì)話相關(guān)的對(duì)象和屬性。跟某個(gè)用戶相關(guān)的數(shù)據(jù)應(yīng)該放在用戶自己的 session 中。
• application：代表與整個(gè) Web 應(yīng)用程序相關(guān)的對(duì)象和屬性，它實(shí)質(zhì)上是跨越整個(gè) Web 應(yīng)用程序，包括多個(gè)頁面、請(qǐng)求和會(huì)話的一個(gè)全局作用域。

6. JSP 有哪些內(nèi)置對(duì)象？作用分別是什么？

JSP 有 9 大內(nèi)置對(duì)象：

• request：封裝客戶端的請(qǐng)求，其中包含來自 get 或 post 請(qǐng)求的參數(shù)；
• response：封裝服務(wù)器對(duì)客戶端的響應(yīng)；
• pageContext：通過該對(duì)象可以獲取其他對(duì)象；
• session：封裝用戶會(huì)話的對(duì)象；
• application：封裝服務(wù)器運(yùn)行環(huán)境的對(duì)象；
• out：輸出服務(wù)器響應(yīng)的輸出流對(duì)象；
• config：Web 應(yīng)用的配置對(duì)象；
• page：JSP 頁面本身（相當(dāng)于 Java 程序中的 this）；
• exception：封裝頁面拋出異常的對(duì)象。

7. Servlet的生命周期

servlet有良好的生存期的定義，包括加載和實(shí)例化、初始化、處理請(qǐng)求以及服務(wù)結(jié)束。這個(gè)生存期由javax.servlet.servlet接口中的init、service、destroy方法表達(dá)。

（1）加載和實(shí)例化

當(dāng)Servlet容器啟動(dòng)或客戶端發(fā)送一個(gè)請(qǐng)求時(shí)，Servlet容器會(huì)查找內(nèi)存中是否存在該Servlet實(shí)例，若存在，則直接讀取該實(shí)例響應(yīng)請(qǐng)求；如果不存在，就創(chuàng)建一個(gè)Servlet實(shí)例。

（2） 初始化

實(shí)例化后，Servlet容器將調(diào)用Servlet的init()方法進(jìn)行初始化（一些準(zhǔn)備工作或資源預(yù)加載工作）。

（3）服務(wù)

初始化后，Servlet處于能響應(yīng)請(qǐng)求的就緒狀態(tài)。當(dāng)接收到客戶端請(qǐng)求時(shí)，調(diào)用service()的方法處理客戶端請(qǐng)求，HttpServlet的service()方法會(huì)根據(jù)不同的請(qǐng)求 轉(zhuǎn)調(diào)不同的doXxx()方法。

（4）銷毀

當(dāng)Servlet容器關(guān)閉時(shí)，Servlet實(shí)例也隨時(shí)銷毀。其間，Servlet容器會(huì)調(diào)用Servlet 的destroy()方法去判斷該Servlet是否應(yīng)當(dāng)被釋放（或回收資源）。

8. session 和 cookie 有什么區(qū)別？

• 存儲(chǔ)位置不同：session 存儲(chǔ)在服務(wù)器端；cookie 存儲(chǔ)在瀏覽器端。
• 安全性不同：cookie 安全性一般，在瀏覽器存儲(chǔ)，可以被偽造和修改。
• 容量和個(gè)數(shù)限制：cookie 有容量限制，每個(gè)站點(diǎn)下的 cookie 也有個(gè)數(shù)限制。
• 存儲(chǔ)的多樣性：session 可以存儲(chǔ)在 Redis 中、數(shù)據(jù)庫中、應(yīng)用程序中；而 cookie 只能存儲(chǔ)在瀏覽器中。

9. 說一下 session 的工作原理？

session 的工作原理是客戶端登錄完成之后，服務(wù)器會(huì)創(chuàng)建對(duì)應(yīng)的 session，session 創(chuàng)建完之后， 會(huì)把 session 的 id 發(fā)送給客戶端，客戶端再存儲(chǔ)到瀏覽器中。這樣客戶端每次訪問服務(wù)器時(shí)，都會(huì)帶著 sessionid， 服務(wù)器拿到 sessionid 之后，在內(nèi)存找到與之對(duì)應(yīng)的 session 這樣就可以正常工作了。

10. 如果客戶端禁止 cookie 能實(shí)現(xiàn) session 還能用嗎?

可以用，session 只是依賴 cookie 存儲(chǔ) sessionid，如果 cookie 被禁用了， 可以使用 url 中添加 sessionid 的方式保證 session 能正常使用。

11. JSP工作原理？

（1）當(dāng)用戶訪問一個(gè)JSP頁面時(shí)，會(huì)向一個(gè)Servlet容器（Tomcat）發(fā)出請(qǐng)求；

（2）如果是第一次請(qǐng)求頁面，或頁面有所改動(dòng)，則servlet容器首先要把JSP頁面（假設(shè)為test.jsp）轉(zhuǎn)化為Servlet代碼（test.java），再將其轉(zhuǎn)化為（test.class文件）；因?yàn)檫@個(gè)過程（編譯）會(huì)耗費(fèi)一定時(shí)間，所以第一次訪問或jsp文件有改動(dòng)時(shí)，訪問時(shí)間有些長；

（3）JSP容器負(fù)責(zé)調(diào)用從JSP轉(zhuǎn)換來的servlet，這些servlet負(fù)責(zé)提供服務(wù)相應(yīng)用戶請(qǐng)求（比如客戶端發(fā)送表單，要求servlet：formprocessor.java來處理，則容器會(huì)建立一個(gè)線程，調(diào)用formprocessor.java來處理該請(qǐng)求）；如果用戶有多個(gè)請(qǐng)求，則容器會(huì)建立多個(gè)線程處理多個(gè)請(qǐng)求；

（4）容器執(zhí)行字節(jié)碼文件（包括調(diào)用的servlet：formprocessor.java字節(jié)嗎），并將其結(jié)果返回到客戶端；（返回的最終方式是由servlet輸出html格式的文件流）

12. JSP中動(dòng)態(tài)include和靜態(tài)include的區(qū)別？

• 靜態(tài)include：語法：<%@ include file="文件名" %>，相當(dāng)于復(fù)制，編輯時(shí)將對(duì)應(yīng)的文件包含進(jìn)來，當(dāng)內(nèi)容變化時(shí)，不會(huì)再一次對(duì)其編譯，不易維護(hù)。
• 動(dòng)態(tài)include：語法：<jsp:include page="文件名">,能夠自動(dòng)檢查被包含文件，當(dāng)客戶端對(duì)JSP文件進(jìn)行請(qǐng)求時(shí)，會(huì)重新將對(duì)應(yīng)的文件包含進(jìn)來，進(jìn)行實(shí)時(shí)的更新。

13、JSTL是什么？?jī)?yōu)點(diǎn)有哪些？

答：JSTL（JSP Standard Tag Library，JSP標(biāo)準(zhǔn)標(biāo)簽庫）是一個(gè)不斷完善的開放源代碼的JSP標(biāo)簽庫，由四個(gè)定制標(biāo)記庫（core、format、xml、sql）和一對(duì)通用標(biāo)記庫驗(yàn)證器（ScriptFreeTLV和PermittedTaglibsTLV）組成。

優(yōu)點(diǎn)有：

• 在應(yīng)用程序服務(wù)器之間提供了一致的接口，最大程度的提高了web應(yīng)用在各應(yīng)用服務(wù)器之間的移植。
• 簡(jiǎn)化了JSP和web應(yīng)用程序的開發(fā)。
• 以一種統(tǒng)一的方式減少了JSP中scriptlet代碼數(shù)據(jù)，可以達(dá)到?jīng)]有任何scriptlet代碼的代碼。在我們公司的項(xiàng)目中是不允許任何scriptlet出現(xiàn)在JSP中。
• 允許JSP設(shè)計(jì)工具與web應(yīng)用程序開發(fā)的進(jìn)一步集成。相信不久就會(huì)有支持JSTL的IDE開發(fā)工具出現(xiàn)。

14. GET和POST的區(qū)別？

POST和GET都是向服務(wù)器提交數(shù)據(jù)，并且都會(huì)從服務(wù)器獲取數(shù)據(jù)。

1、傳送方式：get通過地址欄傳輸，post通過報(bào)文傳輸。

2、傳送長度：get參數(shù)有長度限制（受限于url長度），而post無限制

3、GET和POST還有一個(gè)重大區(qū)別，簡(jiǎn)單的說：

GET產(chǎn)生一個(gè)TCP數(shù)據(jù)包；POST產(chǎn)生兩個(gè)TCP數(shù)據(jù)包

長的說：

對(duì)于GET方式的請(qǐng)求，瀏覽器會(huì)把http header和data一并發(fā)送出去，服務(wù)器響應(yīng)200（返回?cái)?shù)據(jù)）；

而對(duì)于POST，瀏覽器先發(fā)送header，服務(wù)器響應(yīng)100 continue，瀏覽器再發(fā)送data，服務(wù)器響應(yīng)200 ok（返回?cái)?shù)據(jù)）。

建議：

1、get方式的安全性較Post方式要差些，包含機(jī)密信息的話，建議用Post數(shù)據(jù)提交方式；

2、在做數(shù)據(jù)查詢時(shí)，建議用Get方式；而在做數(shù)據(jù)添加、修改或刪除時(shí)，建議用Post方式；

15. 什么是 XSS 攻擊，如何避免？

XSS 攻擊：即跨站腳本攻擊，它是 Web 程序中常見的漏洞。原理是攻擊者往 Web 頁面里插入惡意的腳本代碼（css 代碼、Javascript 代碼等），當(dāng)用戶瀏覽該頁面時(shí)，嵌入其中的腳本代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的目的，如盜取用戶 cookie、破壞頁面結(jié)構(gòu)、重定向到其他網(wǎng)站等。 預(yù)防 XSS 的核心是必須對(duì)輸入的數(shù)據(jù)做過濾處理。

16. 什么是 CSRF 攻擊，如何避免？

CSRF：Cross-Site Request Forgery（中文：跨站請(qǐng)求偽造），可以理解為攻擊者盜用了你的身份，以你的名義發(fā)送惡意請(qǐng)求，比如：以你名義發(fā)送郵件、發(fā)消息、購買商品，虛擬貨幣轉(zhuǎn)賬等。 防御手段： 驗(yàn)證請(qǐng)求來源地址； 關(guān)鍵操作添加驗(yàn)證碼； 在請(qǐng)求地址添加 token 并驗(yàn)證。

總結(jié)

本篇文章就到這里了，希望能給你帶來幫助，也希望您能夠多多關(guān)注腳本之家的更多內(nèi)容！

最新評(píng)論