Java反射机制、序列化及动态代理是什么？有哪些应用场景？

1 什么是反射？

在运行过程中，针对任何一个类，我们都能掌握其所有属性与方法的详细信息；同样，对于任何一个对象，我们都能随意调用其任何方法和属性；这种能够动态获取信息并动态调用对象方法的能力，便是 Java 语言中的反射特性。

2.什么是 Java 序列化？什么情况下需要序列化？

Java序列化旨在保存不同对象在内存中的具体状态，同时确保这些存储的状态能够被重新读取。

以下情况需要使用 Java 序列化：

3. 动态代理是什么？有哪些应用？

动态代理是运行时动态生成代理类。

动态代理技术广泛应用于Spring AOP、Hibernate的数据检索、测试框架的后端模拟、RPC调用以及Java注解对象的获取等方面。

4.怎么实现动态代理？

JDK的动态代理技术分为原生动态代理和cglib动态代理两种。原生动态代理通过接口实现，而cglib动态代理则是通过创建当前类的子类来实现。

5. 为什么要使用克隆？

克隆后的实体可能携带有经过调整的特性，与之相对，通过new关键字创建的实体，其属性则维持着初始设定的数值。因此，若需创建一个能反映当前对象“状态”的新实体，克隆机制便成为不可或缺的手段。

对象拷贝

6.如何实现对象克隆？

为了实现 Cloneable 接口的功能，我们需要对 Object 类中的 clone() 方法进行重新编写。

实现Serializable接口，借助对象的序列化与反序列化功能，可以完成克隆操作，从而实现深度克隆的效果。

7.深拷贝和浅拷贝区别是什么？

浅拷贝是指在对象复制过程中，仅对对象自身及其包含的值类型成员变量进行复制，而不会对引用类型的成员对象进行复制。

深克隆技术：在复制对象的过程中，不仅对象本身会被复制，而且对象中包含的所有成员变量也会被一并复制。这一特性在Java Web开发中尤为关键。

8.JSP 和 servlet 有什么区别？

JSP是对servlet技术的延伸，其核心实际上是对servlet的简化实现。Servlet与JSP的核心差异在于，Servlet的应用逻辑被封装在Java文件中，且与表示层的HTML内容完全分离，而JSP则允许Java代码与HTML内容在同一文件中混合编写，形成以JSP为扩展名的文件。在功能定位上，JSP更加强调视图的表现，而Servlet则主要负责处理控制逻辑。

9.JSP 有哪些内置对象？作用分别是什么？

JSP 有 9 大内置对象：

10. 请列举 JSP 的四种作用域类型。11. 能否阐述 session 与 cookie 之间的差异？

会话数据存储于服务器；而cookie则保存在用户浏览器中。

安全级别各异：cookie 的安全性相对较弱，它存储于浏览器中，存在被篡改和伪造的风险。

每个cookie都存在容量上限，同时，在各个站点之下，cookie的数量也受到一定的限制。

存储方式多样：会话数据可存于Redis、数据库或应用程序内；相对而言，cookie的存储仅限于浏览器端。

12. 说一下 session 的工作原理？

客户端登录成功后，服务器随即生成相应的会话，随后将此会话的唯一标识码发送至客户端，客户端再将此标识码保存在浏览器内。每当客户端访问服务器之际，它都会携带一个sessionid。服务器接收到sessionid后，便能在内存中搜寻到与之匹配的session，从而确保系统能够正常运行。

若客户端限制了cookie的使用，那么session功能是否仍然可以正常运作？

若cookie功能被禁用，则可通过在URL中加入sessionid来确保session能够继续有效运作；在这种情况下，session的存储不再仅依赖于cookie。

Spring MVC与Struts在哪些方面存在差异？

拦截层次划分：struts2 属于对类进行拦截；而spring mvc 则是对方法进行拦截。

数据独立性方面，Spring MVC中的方法大多保持独立，各自拥有独占的request和response数据。这些请求数据通过参数进行获取，处理后的结果则通过ModelMap返回给框架，方法间不共用任何变量。相对而言，Struts2尽管方法间同样独立，但所有的action变量却是共享的。这种情况虽然不会对程序运行造成影响，但在编码和阅读程序时却给我们带来了一定的不便。

拦截策略：Struts2 系统内嵌了拦截器机制，而 Spring MVC 则采用了独立的面向切面编程（AOP）技术，这一差异使得 Struts2 的配置文件相对于 Spring MVC 来说更为繁杂。

Spring MVC 内置了对ajax技术的支持，使得ajax的使用变得异常便捷，只需添加一个@ResponseBody注解即可轻松实现；相较之下，Struts2则通常需要额外安装插件或自行编写代码才能达到相同效果。

15.如何避免 SQL 注入？

使用预处理 PreparedStatement。

使用正则表达式过滤掉字符中的特殊字符。

16 什么是 XSS 攻击，如何避免？

跨站脚本攻击，通常简称为 XSS，是网络程序中普遍存在的安全漏洞之一。其工作原理是，攻击者会在网页中植入恶意的脚本（包括 CSS 和 JavaScript 等），用户在访问该网页时，这些嵌入的脚本便会自动执行，进而实现对用户的恶意攻击，例如窃取用户的 Cookie 信息、破坏网页结构或将其重定向至其他网站。预防 XSS 的核心是必须对输入的数据做过滤处理。

17.什么是 CSRF 攻击，如何避免？

CSRF，即跨站请求伪造，它指的是攻击者未经授权盗用你的身份，冒用你的名义进行一系列恶意操作，例如发送邮件、发布消息、购买商品，甚至进行虚拟货币的转账等。

防御手段：

验证请求来源地址；

关键操作添加验证码；

在请求地址添加 token 并验证。

异常

18. throw 和 throws 的区别？

throw：是真实抛出一个异常。

throws：是声明可能会抛出一个异常。

final、最终、终局这几个词在用法上各有不同。final通常用作形容词，表示“最后的，最终的”，强调某个阶段或过程的结束。finally则是一个副词，用于表示某个动作或情况最终发生，常带有一定的强调意味。而finalize则是一个动词，意为“使……最终确定，使……完成”，强调完成某个决定或过程。

final关键字作为修饰符，用于限制类、方法或变量的继承与修改；具体而言，当它修饰一个类时，该类将无法被其他类继承；而若用于修饰方法和变量，则意味着这些方法和变量将保持不变，仅可供使用。

在try{} catch{} finally{}的代码结构中，finally部分位于最后，它的作用是确保无论在执行过程中遇到何种情况，这部分代码都将被执行。即使finally部分未被包含，它也会自动执行。如果finally部分确实存在，那么其中的代码将会被无条件地执行。

finalize方法属于Object类，当垃圾回收器启动并开始回收对象时，会自动调用该对象上的此方法。

在try-catch-finally结构中，可以省略的部分是finally。

在 try-catch-finally 结构中，catch 和 finally 这两个部分虽然可以单独省略，但若要省略其中一个，则另一个也必须一并省略。换言之，若存在 try 部分，其后必须紧接着是 catch 或 finally 中的一个。

最终一定会执行，即便在catch块中调用了return，catch块中的return执行完毕后，才会继续执行finally块中的代码。

22. 哪些是常见的异常类型？23. HTTP响应状态码301和302分别表示什么？它们之间有何不同？

301：永久重定向。

302：暂时重定向。

它们的差异主要体现在，301号对搜索引擎的优化效果更为显著；而302号则存在被系统提示为网络拦截的可能性。

24.forward 和 redirect 的区别？

forward 是转发 和 redirect 是重定向：

在地址栏中，可以看到url的显示情况：前向的url不会发生任何变动，而转向的url则会发生变化。

效率：forward 比 redirect 效率高。

25. 简述 tcp 和 udp 的区别？

tcp 和 udp 是 OSI 模型中的运输层中的协议。

TCP确保了通信传输的稳定性，与此同时，UDP通常被用来将广播和细节控制的任务交由应用层的通信传输来处理。

两者的区别大致如下：

TCP是一种基于连接的协议，而UDP则是面向非连接的，即在进行数据发送之前无需预先建立连接。

tcp 提供可靠的服务（数据传输），udp 无法保证；

tcp 面向字节流，udp 面向报文；

tcp 数据传输慢，udp 数据传输快；

26. tcp 为什么要三次握手，两次不行吗？为什么？

若实施双次握手，服务器一旦发送确认信息，连接便得以建立；然而，由于客户端尚未对服务器请求作出回应，服务器将持续等待，导致资源被无谓消耗。相较之下，若实行三重握手，若服务器未接收到客户端的再次确认，便能意识到客户端未发起建立连接的请求，从而避免对服务器资源的浪费。

27.说一下 tcp 粘包是怎么产生的？

TCP粘包现象可能出现在传输的任一端，具体分析两端产生粘包的多种原因如下：在发送端，由于必须等待缓冲区完全填满后才会进行数据发送，这便导致了粘包现象的产生；而在接收端，若接收方未能及时从缓冲区中提取数据包，便可能引发多个数据包被错误地接收在一起的情况。

28. OSI 的七层模型都有哪些？

物理层通过传输介质为数据链路层搭建物理连接，确保比特流能够实现无障碍的透明传输。

数据链路层：负责建立和管理节点间的链路。

网络层中，利用路由选择算法，为报文或分组在通信子网中确定最合适的传输路径。

传输层主要负责为用户提供端到端的差错控制与流量管理功能，确保报文能够准确无误地传输。

会话层：向两个实体的表示层提供建立和使用连接的方法。

表示层主要涉及对用户信息的处理，包括信息编码、数据格式的转换以及加密与解密等操作。

应用层主要负责为用户直接提供服务，它能够帮助用户在网络上实现他们期望完成的各种任务。

29. get 和 post 请求有哪些区别？

get 请求会被浏览器主动缓存，而 post 不会。

get 传递参数有大小限制，而 post 没有。

使用post方式传递参数更为安全，因为其参数不会像get方式那样直接暴露在url中，而是以加密的形式进行传输。相比之下，get方式的参数则会在url中以明文形式呈现，存在一定的安全隐患。

30. 如何实现跨域？

实现跨域有以下几种方案：

服务器端运行跨域 设置 CORS 等于 *；

在单个接口使用注解 @CrossOrigin 运行跨域；

使用 jsonp 跨域；

31. 说一下 JSONP 实现原理？

JSON with Padding，简称jsonp，这一技术通过script标签的src属性实现跨源访问的连接。

性，加载远程返回的“JS 函数”来执行的。