手把手教你如何玩转面试（与JavaWeb相关其余内容）

反射型：发出请求时，XSS代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，XSS随响应内容一起返回给浏览器，最后浏览器解析执行XSS代码，这个过程就像一次发射，所以叫反射型XSS。
存储型: 存储型XSS和反射型的XSS差别就在于，存储型的XSS提交的代码会存储在服务器端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。

（4）预防措施：

编码：对用户输入的数据进行HTML Entity编码

过滤：移除用户上传的DOM属性，如onerror等，移除用户上传的style节点，script节点，iframe节点等。
校正：避免直接对HTML Entity编码，使用DOM Prase转换，校正不配对的DOM标签。

（5）案例：

1.常见XSS漏洞1--get请求回显漏洞
当我们的网页使用的是get请求的时候，服务器后端将get请求的字符串编码(在浏览器上使用的是encode编码)回显到页面的时候，如果我们输入的是正常的一段字符，那么，他显示的是一段字符，然而，如果我们输入的是一段html代码呢？？？那么回显的就是一段html代码，当你的页面允许这样的时候，那么就要注意了，别人可以在你的链接上面加很长一段自己的html，然后他把这个伪造的连接发给别人，说你的官网最近有活动，事实上，是他生成在get请求上做了一点手脚，而你的服务端，回显的时候，产生的这样的问题。。。。
2.常见的XSS漏洞2--论坛回复
当我们再论坛输入的是字符串的时候，下面回显的是，你的回复的字符串信息，但当你输入的是一段html的时候，页面显示的是什么呢？？？甚至，我们还可以在上面加一段js代码，例如<script>alert("哈哈");</script>，别人问你这个页面的时候，就可能弹出这个哈哈对话框，这个还是好的，如果别人在js上加个js跳转到其他页面，哈哈，这只要以后任何人访问该页面的时候，是不是都会跳转到其他页面，而永远都进入不了你这个页面了呢？？？

4：XML文档定义有几种形式？它们之间有何本质区别？解析XML文档有哪几种方式？

答：XML文档定义分为DTD和Schema两种形式，二者都是对XML语法的约束，其本质区别在于Schema本身也是一个XML文件，可以被XML解析器解析，而且可以为XML承载的数据定义类型，约束能力较之DTD更强大。对XML的解析主要有DOM（文档对象模型，Document Object Model）、SAX（Simple API for XML）和StAX（Java 6中引入的新的解析XML的方式，Streaming API for XML），其中DOM处理大型文件时其性能下降的非常厉害，这个问题是由DOM树结构占用的内存较多造成的，而且DOM解析方式必须在解析文件之前把整个文档装入内存，适合对XML的随机访问（典型的用空间换取时间的策略）；SAX是事件驱动型的XML解析方式，它顺序读取XML文件，不需要一次全部装载整个文件。当遇到像文件开头，文档结束，或者标签开头与标签结束时，它会触发一个事件，用户通过事件回调代码来处理XML文件，适合对XML的顺序访问；顾名思义，StAX把重点放在流上，实际上StAX与其他解析方式的本质区别就在于应用程序能够把XML作为一个事件流来处理。将XML作为一组事件来处理的想法并不新颖（SAX就是这样做的），但不同之处在于StAX允许应用程序代码把这些事件逐个拉出来，而不用提供在解析器方便时从解析器中接收事件的处理程序。

5：情景分析：秒杀一个奖品，让你设计一种软件模型。

可以参考看看这文章：https://blog.csdn.net/longcats_lily/article/details/70665929

6：在你的实际项目中，有用到哪些设计模式？简要的说一下。

答：（1）单例模式：应用于数据库连接池中，这样能够对连接数据库的资源进行管理，减少系统消耗；而且Spring中的bean就是单例

（2）模板模式：比如对于封装基础DAO层的时候，提供了操作数据库的基本方法，但是对于不同的实体类，那么要进行的实际操作又是不一样的；

（3）代理模式：应用于Spring的事务管理和日志记录，并且实际的应用在对统计系统中，方法每天调用的次数；

7：

这并不是终点，而是我刚刚的开始，我会一直不断将知识点进行更新，欢迎大家进行关注和阅读！！！

手把手教你如何玩转面试（与JavaWeb相关其余内容）

1：Git中的常用命令？请说一下merge和rebase的作用和不同点？

2：软件开发的生命周期模型？

3：Web安全之XSS攻击？

4：XML文档定义有几种形式？它们之间有何本质区别？解析XML文档有哪几种方式？

猜你喜欢