java面试-计算机网络

jsp 和 servlet 有什么区别？

（1）servlet是服务器端的Java程序，它担当客户端和服务端的中间层。

（2）jsp全名为Java server pages，中文名叫Java服务器页面，其本质是一个简化的servlet设计。JSP是一种动态页面设计，它的主要目的是将表示逻辑从servlet中分离出来。

（3）JVM只能识别Java代码，不能识别JSP，JSP编译后变成了servlet，web容器将JSP的代码编译成JVM能够识别的Java类（servlet）。

（4）JSP有内置对象、servlet没有内置对象

说一下 jsp 的 4 种作用域？

application、session、request、page

session 和 cookie 有什么区别？

（1）存储位置不同

cookie在客户端浏览器；
session在服务器；

（2）存储容量不同

cookie<=4K，一个站点最多保留20个cookie；
session没有上线，出于对服务器的保护，session内不可存过多东西，并且要设置session删除机制；

（3）存储方式不同

cookie只能保存ASCII字符串，并需要通过编码方式存储为Unicode字符或者二进制数据；
session中能存储任何类型的数据，包括并不局限于String、integer、list、map等；

（4）隐私策略不同

cookie对客户端是可见的，不安全；
session存储在服务器上，安全；

（5）有效期不同

开发可以通过设置cookie的属性，达到使cookie长期有效的效果；
session依赖于名为JESSIONID的cookie，而cookie JSESSIONID的过期时间默认为-1，只需关闭窗口该session就会失效，因而session达不到长期有效的效果；

（6）跨域支持上不同

cookie支持跨域；
session不支持跨域

如果客户端禁止 cookie 能实现 session 还能用吗？

一般默认情况下，在会话中，服务器存储 session 的 sessionid 是通过 cookie 存到浏览器里。

如果浏览器禁用了 cookie，浏览器请求服务器无法携带 sessionid，服务器无法识别请求中的用户身份，session失效。

但是可以通过其他方法在禁用 cookie 的情况下，可以继续使用session。

• 通过url重写，把 sessionid 作为参数追加的原 url 中，后续的浏览器与服务器交互中携带 sessionid 参数。
• 服务器的返回数据中包含 sessionid，浏览器发送请求时，携带 sessionid 参数。
• 通过 Http 协议其他 header 字段，服务器每次返回时设置该 header 字段信息，浏览器中 js 读取该 header
  字段，请求服务器时，js设置携带该 header 字段。

什么是上下文切换

当前任务在执行完 CPU 时间片切换到另一个任务之前会先保存自己的状态，以便下次再切换回这个任务时，可以再加载这个任务的状态。任务从保存到再加载的过程就是一次上下文切换。

说一下 session 的工作原理？

当客户端登录完成后，会在服务端产生一个session，此时服务端会将sessionid返回给客户端浏览器。客户端将sessionid储存在浏览器的cookie中，当用户再次登录时，会获得对应的sessionid，然后将sessionid发送到服务端请求登录，服务端在内存中找到对应的sessionid，完成登录，如果找不到，返回登录页面。

http 响应码 301 和 302 代表的是什么？有什么区别？

• 301代表永久性重定向，旧地址被永久移除，客户端向新地址发送请求。
• 302代表暂时性重定向，旧地址还在，客户端继续向旧地址发送请求。

简述 tcp 和 udp的区别？

TCP是传输控制协议，UDP是用户数据表协议；
TCP长连接，UDP无连接；
UDP程序结构较简单，只需发送，无须接收；
TCP可靠，保证数据正确性、顺序性；UDP不可靠，可能丢数据；
TCP适用于少量数据，UDP适用于大量数据传输；
TCP速度慢，UDP速度快；

tcp 为什么要三次握手，两次不行吗？为什么？

因为客户端和服务端都要确认连接，①客户端请求连接服务端；②针对客户端的请求确认应答，并请求建立连接；③针对服务端的请求确认应答，建立连接；

两次无法确保A能收到B的数据；

OSI 的七层模型都有哪些？

get 和 post 请求有哪些区别？

• get请求参数是连接在url后面的,而post请求参数是存放在requestbody内的；
• get请求因为浏览器对url长度有限制，所以参数个数有限制，而post请求参数个数没有限制；
• 因为get请求参数暴露在url上,所以安全方面post比get更加安全；
• get请求只能进行url编码,而post请求可以支持多种编码方式；
• get请求参数会保存在浏览器历史记录内,post请求并不会；
• get请求浏览器会主动cache,post并不会,除非主动设置；
• get请求产生1个tcp数据包,post请求产生2个tcp数据包；
• 在浏览器进行回退操作时,get请求是无害的,而post请求则会重新请求一次；
• 浏览器在发送get请求时会将header和data一起发送给服务器,服务器返回200状态码,而在发送post请求时,会先将header发送给服务器,服务器返回100,之后再将data发送给服务器,服务器返回200
  OK；

什么是xss，怎么解决？

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript

解决方案：对提交的所有内容进行过滤，对url中的参数进行过滤，过滤掉会导致脚本执行的相关内容

什么是 CSRF 攻击，如何避免？

跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的

避免：这种数据通常是窗体中的一个数据项。服务器将其生成并附加在窗体中，其内容是一个伪随机数。当客户端通过窗体提交请求时，这个伪随机数也一并提交上去以供校验。正常的访问时，客户端浏览器能够正确得到并传回这个伪随机数，而通过CSRF传来的欺骗性攻击中，攻击者无从事先得知这个伪随机数的值，服务端就会因为校验token的值为空或者错误，拒绝这个可疑请求。

说一下 tcp 粘包是怎么产生的？

发送方需要等缓冲区满才能发送出去，造成粘包；
接收方不及时接收缓冲区的包，造成粘包；