一面

介绍项目

Java常用的数据结构有哪些。哪些是线程安全的。

JDK1.7和JDK1.8的ConcurrentHashMap的区别。

Java如何实现线程安全。

Java创建线程的方式有哪些？

Runnable和Callable的区别？

Java一般如何作线程管理？

常用的线程池有哪些？

线程和进程的区别。

进程通信方式。

Java的基本数据类型有哪些。

String，StringBuffer和StringBuilder的区别。

讲一讲Java的GC。

面向对象的特性。

接口和抽象类区别。

接口除了抽象方法还有什么方法。（忘了）

Java常用的设计模式有哪些？

回答了单例（Bean）和***模式（动态***）。被追问还有吗，说了装饰者（Buffered修饰IO流）。

总共有多少种设计模式？

回答了大概二十多种。

讲一讲SpringMVC的过程。

讲一讲依赖注入。

讲一讲AOP。

Web安全了解吗？在服务端可以怎么做，前端呢？（不会）

服务端回答了可以权限校验。面试官问数据库这方面考虑呢？我才想起了有SQL注入，可以使用preparestatement这样的操作，不写明字面量，而是把参数注入进去。面试官又问前端

呢？我说不了解。他继续提示有个C什么的。我继续说不了解。

跨站脚本攻击(XSS 攻击)

XSS(Cross Site Scripting)，跨站脚本攻击。XSS是常见的Web 攻击技术之一.所谓的跨站脚本攻

击指得是:恶意攻击者往Web页面里注入恶意Script代码，用户浏览这些网页时，就会执行

其中的恶意代码，可对用户进行盗取cookie 信息、会话劫持等各种攻击.

跨站请求伪造(CSRF 攻击)

CSRF(Cross Site Request Forgery)，即跨站请求伪造。原理：CSRF攻击过程的受害者用户登录

网站A，输入个人信息，在本地保存服务器生成的cookie。然后在A网站点击由攻击者构建

一条恶意链接跳转到B 网站,然后B网站携带着的用户cookie信息去访问B 网站.让A网站造

成是用户自己访问的假相,从而来进行一些列的操作,常见的就是转账.

TCP和UDP区别。

HTTP和HTTPS区别。

HTTP和HTTPS分别用什么端口。