64.jsp 和 servlet 有什么区别？

     Servlet在java代码中可以通过HttpServletResponse对象动态输出HTML内容
     JSP是在静态HTML内容中嵌入java代码，然后java代码在被动态执行后生成HTML内容

65.jsp 有哪些内置对象？作用分别是什么？

     page：JSP 页面本身（相当于 Java 程序中的 this）
     request：封装客户端的请求，其中包含来自 GET 或 POST 请求的参数；
     response：封装服务器对客户端的响应；
     session：封装用户会话的对象；
     application：封装服务器运行环境的对象；
     pageContext：通过该对象可以获取其他对象；
     out：输出服务器响应的输出流对象；
     config：Web 应用的配置对象；
     exception：封装页面抛出异常的对象。

 

66.说一下 jsp 的 4 种作用域？

四种作用域： page, request, session, application
             1.page：         代表与页面相关的属性
             2.request：     代表与客户端发出的请求相关的对象和属性。
                    一个请求可以跨越多个页面，涉及多个web组件，需要在页面中临时显示的数据可以置于此作用域
             3.session:        代表某个用户与服务器当前建立会话相关的对象和属性，当前用户相关的数据应该存放在用户自己的Session中
             4.application:  代表与整个web应用程序相关的对象和属性，实质上application是跨越整个web应用程序的， 包括多个页面，请求和会话，是一个全局作用域

 

67.session 和 cookie 有什么区别？

Cookie和Session都是会话技术，Cookie是运行在客户端，Session是运行在服务器
     Cookie有大小限制以及浏览器，Session是大小没有限制和服务器内存大小有关
     Cookie有安全隐患，通过拦截或本地文件找得到你的cookie后可以进行共攻击
     Session是保存在服务器端上存在一段时间才会消失，如果session过多会增加服务器压力

68.说一下 session 的工作原理？

Session内容保存在服务端，通常是保存在内存中，也可以保存在文件，数据库   中，客户端跟服务器通过SessionId来关联，SessionId通常以Cookie形式存储在客户端，每次Http请求，SessionId都会随着Cookie被传递到服务端，这样就可以通过SessionId取到相应的信息，来判断这个请求来自哪个客户端或用户

69.如果客户端禁止 cookie 能实现 session 还能用吗？

不能，禁用cookie之后，服务端无法接受到cookie里携带的sessionId,那么基于HTTP是无状态的，每一次请求，服务器都会当做是第一次请求，每次都会生成一个唯一的sessionId文件

 

70.spring mvc 和 struts 的区别是什么？

• 拦截机制的不同

Struts2是类级别的拦截，每次请求就会创建一个Action，和Spring整合时Struts2的ActionBean注入作用域是原型模式prototype，然后通过setter，getter吧request数据注入到属性。Struts2中，一个Action对应一个request，response上下文，在接收参数时，可以通过属性接收，这说明属性参数是让多个方法共享的。Struts2中Action的一个方法可以对应一个url，而其类属性却被所有方法共享，这也就无法用注解或其他方式标识其所属方法了，只能设计为多例。

SpringMVC是方法级别的拦截，一个方法对应一个Request上下文，所以方法直接基本上是独立的，独享request，response数据。而每个方法同时又何一个url对应，参数的传递是直接注入到方法中的，是方法所独有的。处理结果通过ModeMap返回给框架。在Spring整合时，SpringMVC的Controller Bean默认单例模式Singleton，所以默认对所有的请求，只会创建一个Controller，有应为没有共享的属性，所以是线程安全的，如果要改变默认的作用域，需要添加@Scope注解修改。

Struts2有自己的拦截Interceptor机制，SpringMVC这是用的是独立的Aop方式，这样导致Struts2的配置文件量还是比SpringMVC大。

• 底层框架的不同

Struts2采用Filter（StrutsPrepareAndExecuteFilter）实现，SpringMVC（DispatcherServlet）则采用Servlet实现。Filter在容器启动之后即初始化；服务停止以后坠毁，晚于Servlet。Servlet在是在调用时初始化，先于Filter调用，服务停止后销毁。

• 性能方面

Struts2是类级别的拦截，每次请求对应实例一个新的Action，需要加载所有的属性值注入，SpringMVC实现了零配置，由于SpringMVC基于方法的拦截，有加载一次单例模式bean注入。所以，SpringMVC开发效率和性能高于Struts2。

• 配置方面

spring MVC和Spring是无缝的。从这个项目的管理和安全上也比Struts2高。

71.如何避免 sql 注入？

   通过预编译 #{}
   严格的参数校验

 

72.什么是 XSS 攻击，如何避免？

跨站脚本攻击，用户注入执行恶意代码
   攻击分类：
          - 反射形  构造带有恶意代码的url链接诱导正常用户点击，服务器收到这个url对应的请求读取其中的参数然后没有做过滤就拼接到Html页面发送给浏览器，浏览器解析执行
          - 持久形  将恶意的xss代码保存在数据库中，每次获取该数据都会
          - DOM     完全在前端浏览器出发，无需服务端参与

   避免：
          - 使用浏览器自带的xss filter
          - CSP (Content Security Policy)
          - Http-Only

 

73.什么是 CSRF 攻击，如何避免？

跨站域请求伪造，伪造请求访问网站
   避免：
          - referer验证
          - token验证