Java Web,是用Java技术来解决相关web互联网领域的技术栈。web包括:web服务端和web客户端两部分。Java在客户端的应用有Java Applet,不过使用得很少,Java在服务器端的应用非常的丰富,比如ServletJSP、第三方框架等等。Java技术对Web领域的发展注入了强大的动力。本文简单记录一些关于Java Web的相关问题。

JSP

JSP 和 servlet 有什么区别?

JSP 是 servlet 技术的扩展,本质上就是 servlet 的简易方式。servlet 和 JSP 最主要的不同点在于,servlet 的应用逻辑是在 Java 文件中,并且完全从表示层中的 html 里分离开来,而 JSP 的情况是 Java 和 html 可以组合成一个扩展名为 JSP 的文件。

JSP 侧重于视图,servlet 主要用于控制逻辑。

JSP 有哪些内置对象?作用分别是什么?

JSP 有 9 大内置对象:

  • **request:**封装客户端的请求,其中包含来自 get 或 post 请求的参数;
  • **response:**封装服务器对客户端的响应;
  • **pageContext:**通过该对象可以获取其他对象;
  • **session:**封装用户会话的对象;
  • **application:**封装服务器运行环境的对象;
  • **out:**输出服务器响应的输出流对象;
  • **config:**Web 应用的配置对象;
  • **page:**JSP 页面本身(相当于 Java 程序中的 this);
  • **exception:**封装页面抛出异常的对象。

JSP 的 4 种作用域?

**page:**与一个页面相关的对象和属性。
**request:**与客户端发出的一个请求相关的对象和属性。
一个请求可能跨越多个页面,涉及多个 Web 组件;需要在页面显示的临时数据可以置于此作用域。
**session:**与某个用户与服务器建立的一次会话相关的对象和属性。
跟某个用户相关的数据应放在用户自己的 session 中。
**application:**与整个 Web 应用程序相关的对象和属性。
实质上是跨越整个 Web 应用程序,包括多个页面、请求和会话的一个全局作用域。

Session

**存储位置不同:**session 存储在服务器端;cookie 存储在浏览器端。
**安全性不同:**cookie 安全性一般,在浏览器存储,可被伪造和修改。
**容量和个数限制:**cookie 有容量限制,每个站点下的 cookie 也有个数限制。
**存储的多样性:**session 可以存储在 Redis 中、数据库中、应用程序中;而 cookie 只能存储在浏览器中。

session 的工作原理?

session 的工作原理是客户端登录完成之后,服务器会创建对应的 session,session 创建完之后,会把 session 的 id 发送给客户端,客户端再存储到浏览器中。这样客户端每次访问服务器时,都会带着 sessionid,服务器拿到 sessionid 之后,在内存找到与之对应的 session 这样就可以正常工作了。

可以用,session 只是依赖 cookie 存储 sessionid,若 cookie 被禁用了,可用 url 中添加 sessionid 的方式保证 session 能正常使用。

Spring mvc 和 struts 的区别是什么?

**拦截级别:**struts2 是类级别的拦截;spring mvc 是方法级别的拦截。
**数据独立性:**spring mvc 的方法之间基本上独立的,独享 request 和 response 数据,请求数据通过参数获取,处理结果通过ModelMap 交回给框架,方法之间不共享变量;而 struts2 虽然方法之间也是独立的,但其所有 action 变量是共享的,这不会影响程序运行,却给我们编码和读程序时带来了一定的麻烦。
**拦截机制:**struts2 有自己的 interceptor 机制,spring mvc 用的是独立的 aop 方式,这样导致struts2 的配置文件量比 spring mvc 大。
**对 ajax 的支持:**spring mvc 集成了ajax,所有 ajax 使用很方便,只需要一个注解 @ResponseBody 就可以实现了;而 struts2 一般需要安装插件或者自己写代码才行。

安全

如何避免 SQL 注入?

使用预处理 PreparedStatement。
使用正则表达式过滤掉字符中的特殊字符。

什么是 XSS 攻击,如何避免?

XSS 攻击:跨站脚本攻击,它是 Web 程序中常见的漏洞。
原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。
**比如:**盗取用户 cookie、破坏页面结构、重定向到其他网站等。
预防 XSS 的核心:必须对输入的数据做过滤处理。

什么是 CSRF 攻击,如何避免?

**CSRF:**Cross-Site Request Forgery(跨站请求伪造),可理解为攻击者盗用你的身份发送恶意请求。
**比如:**以你名义发送邮件、发消息、购买商品,虚拟货币转账等。
防御手段如下:

  • 验证请求来源地址;
  • 关键操作添加验证码;
  • 在请求地址添加 token 并验证。