多应用+插件架构,代码干净,二开方便,首家独创一键云编译技术,文档视频完善,免费商用码云13.8K 广告
**1.session 和 cookie 有什么区别?** - 存储位置不同:session 存储在服务器端;cookie 存储在浏览器端。 - 安全性不同:cookie 安全性一般,在浏览器存储,可以被伪造和修改。 - 容量和个数限制:cookie 有容量限制,每个站点下的 cookie 也有个数限制。 - 存储的多样性:session 可以存储在 Redis 中、数据库中、应用程序中;而 cookie 只能存储在浏览器中。 ***** **2. 说一下 session 的工作原理?** session 的工作原理是客户端登录完成之后,服务器会创建对应的 session,session 创建完之后,会把 session 的 id 发送给客户端,客户端再存储到浏览器中。这样客户端每次访问服务器时,都会带着 sessionid,服务器拿到 sessionid 之后,在内存找到与之对应的 session 这样就可以正常工作了。 ***** **3. 如果客户端禁止 cookie ,session 还能用吗?** 可以用,session 只是依赖 cookie 存储 sessionid,如果 cookie 被禁用了,可以使用 url 中添加 sessionid 的方式保证 session 能正常使用。 ***** **4. 如何避免 SQL 注入?** - 使用预处理 PreparedStatement。 - 使用正则表达式过滤掉字符中的特殊字符。 ***** **5. 什么是 XSS 攻击,如何避免?** XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。 预防 XSS 的核心是必须对输入的数据做过滤处理。 ***** **6. 什么是 CSRF 攻击,如何避免?** CSRF:Cross-Site Request Forgery(中文:跨站请求伪造),可以理解为攻击者盗用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件、发消息、购买商品,虚拟货币转账等。 防御手段: - 验证请求来源地址; - 关键操作添加验证码; - 在请求地址添加 token 并验证。