**1.session 和 cookie 有什么区别？** - 存储位置不同：session 存储在服务器端；cookie 存储在浏览器端。 - 安全性不同：cookie 安全性一般，在浏览器存储，可以被伪造和修改。 - 容量和个数限制：cookie 有容量限制，每个站点下的 cookie 也有个数限制。 - 存储的多样性：session 可以存储在 Redis 中、数据库中、应用程序中；而 cookie 只能存储在浏览器中。 ***** **2. 说一下 session 的工作原理？** session 的工作原理是客户端登录完成之后，服务器会创建对应的 session，session 创建完之后，会把 session 的 id 发送给客户端，客户端再存储到浏览器中。这样客户端每次访问服务器时，都会带着 sessionid，服务器拿到 sessionid 之后，在内存找到与之对应的 session 这样就可以正常工作了。 ***** **3. 如果客户端禁止 cookie ，session 还能用吗？** 可以用，session 只是依赖 cookie 存储 sessionid，如果 cookie 被禁用了，可以使用 url 中添加 sessionid 的方式保证 session 能正常使用。 ***** **4. 如何避免 SQL 注入？** - 使用预处理 PreparedStatement。 - 使用正则表达式过滤掉字符中的特殊字符。 ***** **5. 什么是 XSS 攻击，如何避免？** XSS 攻击：即跨站脚本攻击，它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码（css 代码、Javascript 代码等），当用户浏览该页面时，嵌入其中的脚本代码会被执行，从而达到恶意攻击用户的目的，如盗取用户 cookie、破坏页面结构、重定向到其他网站等。 预防 XSS 的核心是必须对输入的数据做过滤处理。 ***** **6. 什么是 CSRF 攻击，如何避免？** CSRF：Cross-Site Request Forgery（中文：跨站请求伪造），可以理解为攻击者盗用了你的身份，以你的名义发送恶意请求，比如：以你名义发送邮件、发消息、购买商品，虚拟货币转账等。 防御手段： - 验证请求来源地址； - 关键操作添加验证码； - 在请求地址添加 token 并验证。