Java相关面试题总结+答案（四）

【反射】

---

57. 什么是反射？

　　反射是在运行状态中，对于任意一个类，都能够知道该类的所有属性和方法，对于任意一个对象，都能够获得该对象的任一属性和方法；这种动态获取信息以及动态调用对象的方法的功能称之为Java语言的反射机制。

58. 什么是 Java 序列化？什么情况下需要序列化？

　　Java序列化是为了保存各种对象在内存中的状态，并且可以把保存的对象状态再读出来。

　　以下情况需要使用Java序列化：

• 想把的内存中的对象状态保存到一个文件中或者数据库中时候；
• 想用套接字在网络上传送对象的时候；
• 想通过RMI（远程方法调用）传输对象的时候。

59. 动态代理是什么？有哪些应用？

　　动态代理是运行时动态生成代理类。

　　动态代理的应用有 spring aop、hibernate 数据查询、测试框架的后端 mock、rpc，Java注解对象获取等。

60. 怎么实现动态代理？

　　JDK原生动态代理和cglib动态代理。JDK原生动态代理是基于接口实现的，而cglib是基于继承当前类的子类实现的。

【对象拷贝】

---

61. 为什么要使用克隆？

　　克隆的对象可能包含一些已经修改过的属性，而new出来的对象属性都还是初始化时候的值，所以当需要一个新的对象来保存当前对象的“状态”就需要使用克隆方法了。

62. 如何实现对象克隆？

• 实现 Cloneable 接口并重写Object类中的clone() 方法。
• 实现 Serializable 接口，通过对象的序列化和反序列化来实现克隆，可以实现真正的深度克隆。

63. 深拷贝和浅拷贝区别是什么？

• 浅克隆：当对象被复制时只复制它本身和其中包含的值类型的成员变量，而引用类型的成员对象并没有被复制。
• 深克隆：除了对象本身被复制外，对象所包含的所有成员变量也将被复制。

【Java Web】

---

64. JSP 和 servlet 有什么区别？

　　JSP是 servlet 技术的扩展，本质上就是 servlet 的简易方式。servlet 和 JSP 最主要的不同点在于，servlet 的逻辑是在Java文件中，并且完全从表示层中的 html 中完全分离出来了，而JSP 的情况是Java 和 html 可以组成一个扩展名为 jsp 的文件。 JSP 侧重于视图，servlet 主要用于控制逻辑。

65. JSP 有哪些内置对象？作用分别是什么？

JSP 有 9 大内置对象：

• request：封装客户端的请求，其中包括来自 get 和 post 请求的参数；
• response：封装服务器对客户端的响应；
• pageContext：通过该对象可以获取其他对象；
• session：封装用户会话的对象；
• application：封装服务器运行环境的对象 ；
• out：输出服务器响应的输出流对象；
• config：web 应用的配置对象；
• page：JSP 页面本身（相当于 Java 中的 this）；
• exception：封装页面抛出异常的对象。

66. 说一下 JSP 的 4 种作用域？

• page：代表与一个页面相关的属性和对象。
• request：代表与客户端发出的一个请求相关的属性和对象。一个请求可能跨越多个页面，涉及多个 web 组件；需要在页面显示的临时数据可置于此作用域。
• session：代表与某个用户和服务器建立的一次会话相关的属性和对象。跟某个用户相关的数据应该放在该用户自己的 session 中。
• application：代表整个 web 应用程序相关的属性和对象，它实际上是跨越整个 web 应用程序，包括多个页面、请求和会话的一个全局作用域。

67. session 和 cookie 有什么区别？

• 存储位置不同：session 存储在服务器端，cookie 存储在浏览器端。
• 安全性不同：cookie 安全性一般，在浏览器存储，可以被伪造和修改。
• 容量和个数限制不同：cookie 有容量限制，每个站点下的 cookie 也有个数限制。
• 存储的多样性：session 可以存储在 Redis中、数据库中、应用程序中；而 cookie 只能存储在浏览器中。

68. 说一下 session 的工作原理？

　　session 的工作原理是客户端登录完成之后，服务器会创建对用的 session，session 创建完之后，会把 session 的 id 发送给客户端，客户端再存储到浏览器中。这样客户端每次访问服务器都会带着sessionid ，服务器拿到 sessionid 之后，在内存中找到与之对应的 session 这样就可以正常工作了。

69. 如果客户端禁止 cookie 的实现 ，session 还能用吗？

　　可以用，session 只是依赖 cookie 存储 sessionid，如果 cookie 被禁用了，可以使用在 url 中添加 sessionid 的方式保证 session 可以正常使用。

70. spring mvc 和 struts 的区别是什么？

• 拦截级别：struts2 是类级别的拦截；spring mvc 是方法级别的拦截。
• 数据独立性：spring mvc 的方法之间基本上独立的，独享 request 和 response 数据，请求数据通过参数获取，处理结果通过 ModelMap 交回给框架，方法之间不共享变量；而 struts2 虽然方法之间也是独立的，但其所有 action 变量是共享的，这不会影响程序运行，却给我们编码和读程序时带来了一定的麻烦。
• 拦截机制：struts2 有以自己的 interceptor 机制，spring mvc 用的是独立的 aop 方式，这样导致struts2 的配置文件量比 spring mvc 大。
• 对 ajax 的支持：spring mvc 集成了ajax，所有 ajax 使用很方便，只需要一个注解 @ResponseBody 就可以实现了；而 struts2 一般需要安装插件或者自己写代码才行。

71. 如何避免 SQL 注入？

• 使用预处理 PreparedStatement。
• 使用正则表达式过滤掉字符中的特殊字符。

72. 什么是 XSS 攻击，如何避免？

　　xss 攻击：即跨站脚本攻击，它是 web 程序中常见的漏洞。原理是攻击者往 web 里插入恶意的脚本代码（css 代码、JavaScript 代码等），当用户浏览该页面时，嵌入其中的脚本代码会被执行，从而达到恶意攻击用户的目的，如盗取用户 cookie、破坏页面结构、重定向到其他网站等。

　　预防 xss 的核心是必须对输入的数据做过滤处理。

73. 什么是 CSRF 攻击，如何避免？

　　CSRF：Cross-Site Request Forgery（中文：跨站请求伪造），可以理解为攻击者盗用了你的身份，以你的名义发送恶意的请求，比如以你的名义发送邮件、发消息、购买商品、虚拟货币转账等。

　　防御手段：

• • 验证请求来源地址；
  • 关键操作添加验证码；
  • 在请求地址添加 token 并验证。