网站建设互联网加,百度网页版 入口,wordpress 文章倒序,视频教学互动网站建设大厂面试题分享 面试题库前端后端面试题库 #xff08;面试必备#xff09; 推荐#xff1a;★★★★★地址#xff1a;前端面试题库1. 简述 TCP 连接的过程#xff08;淘系#xff09;参考答案#xff1a;TCP 协议通过三次握手建立可靠的点对点连接#xff0c;具体过程…大厂面试题分享 面试题库前端后端面试题库 面试必备 推荐★★★★★地址前端面试题库1. 简述 TCP 连接的过程淘系参考答案TCP 协议通过三次握手建立可靠的点对点连接具体过程是首先服务器进入监听状态然后即可处理连接第一次握手建立连接时客户端发送 syn 包到服务器并进入 SYN_SENT 状态等待服务器确认。在发送的包中还会包含一个初始序列号 seq。此次握手的含义是客户端希望与服务器建立连接。第二次握手服务器收到 syn 包然后回应给客户端一个 SYNACK 包此时服务器进入 SYN_RCVD 状态。此次握手的含义是服务端回应客户端表示已收到并同意客户端的连接请求。第三次握手客户端收到服务器的 SYN 包后向服务器再次发送 ACK 包并进入 ESTAB_LISHED 状态。最后服务端收到客户端的 ACK 包于是也进入 ESTAB_LISHED 状态至此连接建立完成2. 介绍下 HTTPS 中间人攻击参考答案针对 HTTPS 攻击主要有 SSL 劫持攻击和 SSL 剥离攻击两种。SSL 劫持攻击是指攻击者劫持了客户端和服务器之间的连接将服务器的合法证书替换为伪造的证书从而获取客户端和服务器之间传递的信息。这种方式一般容易被用户发现浏览器会明确的提示证书错误但某些用户安全意识不强可能会点击继续浏览从而达到攻击目的。SSL 剥离攻击是指攻击者劫持了客户端和服务器之间的连接攻击者保持自己和服务器之间的 HTTPS 连接但发送给客户端普通的 HTTP 连接由于 HTTP 连接是明文传输的即可获取客户端传输的所有明文数据。3. 介绍下 http1.0、http1.1、http2.0 协议的区别参考答案首先说 http1.0它的特点是每次请求和响应完毕后都会销毁 TCP 连接同时规定前一个响应完成后才能发送下一个请求。这样做有两个问题无法复用连接每次请求都要创建新的 TCP 连接完成三次握手和四次挥手网络利用率低队头阻塞如果前一个请求被某种原因阻塞了会导致后续请求无法发送。然后是 http1.1http1.1 是 http1.0 的改进版它做出了以下改进长连接http1.1 允许在请求时增加请求头connection:keep-alive这样便允许后续的客户端请求在一段时间内复用之前的 TCP 连接管道化基于长连接的基础管道化可以不等第一个请求响应继续发送后面的请求但响应的顺序还是按照请求的顺序返回。缓存处理新增响应头 cache-control用于实现客户端缓存。断点传输在上传/下载资源时如果资源过大将其分割为多个部分分别上传/下载如果遇到网络故障可以从已经上传/下载好的地方继续请求不用从头开始提高效率最后是 http2.0http2.0 进一步优化了传输效率它主要有以下改进二进制分帧将传输的消息分为更小的二进制帧每帧有自己的标识序号即便被随意打乱也能在另一端正确组装多路复用基于二进制分帧在同一域名下所有访问都是从同一个 tcp 连接中走并且不再有队头阻塞问题也无须遵守响应顺序头部压缩http2.0 通过字典的形式将头部中的常见信息替换为更少的字符极大的减少了头部的数据量从而实现更小的传输量服务器推http2.0 允许服务器直接推送消息给客户端无须客户端明确的请求4. 为什么 HTTP1.1 不能实现多路复用腾讯参考答案HTTP/1.1 不是二进制传输而是通过文本进行传输。由于没有流的概念在使用并行传输多路复用传递数据时接收端在接收到响应后并不能区分多个响应分别对应的请求所以无法将多个响应的结果重新进行组装也就实现不了多路复用。5. 简单讲解一下 http2 的多路复用网易参考答案在 HTTP/2 中有两个非常重要的概念分别是帧frame和流stream。 帧代表着最小的数据单位每个帧会标识出该帧属于哪个流流也就是多个帧组成的数据流。 多路复用就是在一个 TCP 连接中可以存在多条流。换句话说也就是可以发送多个请求对端可以通过帧中的标识知道属于哪个请求。通过这个技术可以避免 HTTP 旧版本中的队头阻塞问题极大的提高传输性能。6. 谈谈你对 TCP 三次握手和四次挥手的理解TCP 协议通过三次握手建立可靠的点对点连接具体过程是首先服务器进入监听状态然后即可处理连接第一次握手建立连接时客户端发送 syn 包到服务器并进入 SYN_SENT 状态等待服务器确认。在发送的包中还会包含一个初始序列号 seq。此次握手的含义是客户端希望与服务器建立连接。第二次握手服务器收到 syn 包然后回应给客户端一个 SYNACK 包此时服务器进入 SYN_RCVD 状态。此次握手的含义是服务端回应客户端表示已收到并同意客户端的连接请求。第三次握手客户端收到服务器的 SYN 包后向服务器再次发送 ACK 包并进入 ESTAB_LISHED 状态。最后服务端收到客户端的 ACK 包于是也进入 ESTAB_LISHED 状态至此连接建立完成当需要关闭连接时需要进行四次挥手才能关闭Client 向 Server 发送 FIN 包表示 Client 主动要关闭连接然后进入 FIN_WAIT_1 状态等待 Server 返回 ACK 包。此后 Client 不能再向 Server 发送数据但能读取数据。Server 收到 FIN 包后向 Client 发送 ACK 包然后进入 CLOSE_WAIT 状态此后 Server 不能再读取数据但可以继续向 Client 发送数据。Client 收到 Server 返回的 ACK 包后进入 FIN_WAIT_2 状态等待 Server 发送 FIN 包。Server 完成数据的发送后将 FIN 包发送给 Client然后进入 LAST_ACK 状态等待 Client 返回 ACK 包此后 Server 既不能读取数据也不能发送数据。Client 收到 FIN 包后向 Server 发送 ACK 包然后进入 TIME_WAIT 状态接着等待足够长的时间2MSL以确保 Server 接收到 ACK 包最后回到 CLOSED 状态释放网络资源。Server 收到 Client 返回的 ACK 包后便回到 CLOSED 状态释放网络资源。7. 介绍 HTTPS 握手过程参考答案客户端请求服务器并告诉服务器自身支持的加密算法以及密钥长度等信息服务器响应公钥和服务器证书客户端验证证书是否合法然后生成一个会话密钥并用服务器的公钥加密密钥把加密的结果通过请求发送给服务器服务器使用私钥解密被加密的会话密钥并保存起来然后使用会话密钥加密消息响应给客户端表示自己已经准备就绪客户端使用会话密钥解密消息知道了服务器已经准备就绪。后续客户端和服务器使用会话密钥加密信息传递消息8. HTTPS 握手过程中客户端如何验证证书的合法性参考答案校验证书的颁发机构是否受客户端信任。通过 CRL 或 OCSP 的方式校验证书是否被吊销。对比系统时间校验证书是否在有效期内。通过校验对方是否存在证书的私钥判断证书的网站域名是否与证书颁发的域名一致。9. Http 状态码 301 和 302 的应用场景分别是什么参考答案301 表示永久重定向302 表示临时重定向。如果浏览器收到的是 301则会缓存重定向的地址之后不会再重新请求服务器直接使用缓存的地址请求这样可以减少请求次数。但如果浏览器收到的是 302则不会缓存重定向地址浏览器将来会继续以原有地址请求。因此301 适合地址永久转移的场景比如域名变更而 302 适合临时转移的场景比如首页临时跳转到活动页10. cookie 和 token 都存放在 header 中为什么不会劫持 token参考答案由于浏览器会自动发送 cookie 到服务器因此攻击者可以利用这种特点进行 csrf 攻击。而通常 token 是不放到 cookie 中的需要浏览器端使用 JS 自行保存到 localstorage 中在请求时也需要手动的加入到请求头中因此不容易引发 csrf 攻击。11. 介绍下如何实现 token 加密参考答案以最常见的 token 格式 jwt 为例, token 分为三段分别是 header、payload、signature。 其中header 标识签名算法和令牌类型payload 标识主体信息包含令牌过期时间、发布时间、发行者、主体内容等signature 是使用特定的算法对前面两部分进行加密得到的加密结果。token 有防篡改的特点如果攻击者改动了前面两个部分就会导致和第三部分对应不上使得 token 失效。而攻击者不知道加密秘钥因此又无法修改第三部分的值。所以在秘钥不被泄露的前提下一个验证通过的 token 是值得被信任的。12. 说下单点登录新东方参考答案SSO 一般都需要一个独立的认证中心passport子系统的登录均得通过 passport子系统本身将不参与登录操作当一个系统成功登录以后passport 将会颁发一个令牌给各个子系统子系统可以拿着令牌会获取各自的受保护资源为了减少频繁认证各个子系统在被 passport 授权以后会建立一个局部会话在一定时间内可以无需再次向 passport 发起认证。具体流程是用户访问系统 1 的受保护资源系统 1 发现用户未登录跳转至 sso 认证中心并将自己的地址作为参数sso 认证中心发现用户未登录将用户引导至登录页面用户输入用户名密码提交登录申请sso 认证中心校验用户信息创建用户与 sso 认证中心之间的会话称为全局会话同时创建授权令牌sso 认证中心带着令牌跳转会最初的请求地址系统 1系统 1 拿到令牌去 sso 认证中心校验令牌是否有效sso 认证中心校验令牌返回有效注册系统 1系统 1 使用该令牌创建与用户的会话称为局部会话返回受保护资源用户访问系统 2 的受保护资源系统 2 发现用户未登录跳转至 sso 认证中心并将自己的地址作为参数sso 认证中心发现用户已登录跳转回系统 2 的地址并附上令牌系统 2 拿到令牌去 sso 认证中心校验令牌是否有效sso 认证中心校验令牌返回有效注册系统 2系统 2 使用该令牌创建与用户的局部会话返回受保护资源13. http1.1 是如何复用 tcp 连接的网易参考答案客户端请求服务器时通过请求行告诉服务器使用的协议是 http1.1同时在请求头中附带connection:keep-alive为保持兼容告诉服务器这是一个长连接后续请求可以重复使用这一次的 TCP 连接。这样做的好处是减少了三次握手和四次挥手的次数一定程度上提升了网络利用率。但由于 http1.1 不支持多路复用响应顺序必须按照请求顺序抵达客户端不能真正实现并行传输因此在 http2.0 出现之前实际项目中往往把静态资源比如图片分发到不同域名下的资源服务器以便实现真正的并行传输。14. 文件上传如何做断点续传网易参考答案客户端将文件的二进制内容进行分片每片数据按顺序进行序号标识上传每片数据时同时附带其序号。服务器接收到每片数据时将其保存成一个临时文件并记录每个文件的 hash 和序号。若上传中止将来再次上传时可以向服务器索要已上传的分片序号客户端仅需上传剩余分片即可。当全部分片上传完成后服务器按照分片的顺序组装成完整的文件并删除分片文件。15. 介绍 SSL 和 TLS寺库参考答案它们都是用于保证传输安全的协议介于传输层和应用层之间TLS 是 SSL 的升级版。它们的基本流程一致客户端向服务器端索要公钥并使用数字证书验证公钥。客户端使用公钥加密会话密钥服务端用私钥解密会话密钥于是得到一个双方都认可的会话密钥传输的数据使用会话密钥加密然后再传输接收消息方使用会话密钥解密得到原始数据16. 说说网络的五层模型寺库参考答案从上到下分别为应用层、传输层、网络层、数据链路层、物理层。在发送消息时消息从上到下进行打包每一层会在上一层基础上加包而接受消息时从下到上进行解包最终得到原始信息。其中应用层主要面向互联网中的应用场景比如网页、邮件、文件中心等等它的代表协议有 http、smtp、pop3、ftp、DNS 等等传输层主要面向传输过程比如 TCP 协议是为了保证可靠的传输而 UDP 协议则是一种无连接的广播它们提供了不同的传输方式网络层主要解决如何定位目标的问题比如 IP、ICMP、ARP 等等数据链路层的作用是将数据可靠的传输到目标比如常见的以太网协议、P2P 协议物理层是要规范网络两端使用的物理设备比如蓝牙、wifi、光纤、网线接头等等17. GET 和 POST 的区别流利说参考答案从 http 协议的角度来说GET 和 POST 它们都只是请求行中的第一个单词除了语义不同其实没有本质的区别。之所以在实际开发中会产生各种区别主要是因为浏览器的默认行为造成的。受浏览器的影响在实际开发中GET 和 POST 有以下区别浏览器在发送 GET 请求时不会附带请求体GET 请求的传递信息量有限适合传递少量数据POST 请求的传递信息量是没有限制的适合传输大量数据。GET 请求只能传递 ASCII 数据遇到非 ASCII 数据需要进行编码POST 请求没有限制大部分 GET 请求传递的数据都附带在 path 参数中能够通过分享地址完整的重现页面但同时也暴露了数据若有敏感数据传递不应该使用 GET 请求至少不应该放到 path 中刷新页面时若当前的页面是通过 POST 请求得到的则浏览器会提示用户是否重新提交。若是 GET 请求得到的页面则没有提示。GET 请求的地址可以被保存为浏览器书签POST 不可以18. http 劫持是什么参考答案是指攻击者在客户端和服务器之间同时建立了连接通道通过某种方式让客户端请求发送到自己的服务器然后自己就拥有了控制响应内容的能力从而给客户端展示错误的信息。19. HTTP 劫持、DNS 劫持与 XSS参考答案http 劫持是指攻击者在客户端和服务器之间同时建立了连接通道通过某种方式让客户端请求发送到自己的服务器然后自己就拥有了控制响应内容的能力从而给客户端展示错误的信息比如在页面中加入一些广告内容。DNS 劫持是指攻击者劫持了 DNS 服务器获得了修改 DNS 解析记录的权限从而导致客户端请求的域名被解析到了错误的 IP 地址攻击者通过这种方式窃取用户资料或破坏原有正常服务。XSS 是指跨站脚本攻击。攻击者利用站点的漏洞在表单提交时在表单内容中加入一些恶意脚本当其他正常用户浏览页面而页面中刚好出现攻击者的恶意脚本时脚本被执行从而使得页面遭到破坏或者用户信息被窃取。要防范 XSS 攻击需要在服务器端过滤脚本代码将一些危险的元素和属性去掉或对元素进行HTML实体编码。20. 介绍 xss csrf 攻击参考答案XSSXSS 是指跨站脚本攻击。攻击者利用站点的漏洞在表单提交时在表单内容中加入一些恶意脚本当其他正常用户浏览页面而页面中刚好出现攻击者的恶意脚本时脚本被执行从而使得页面遭到破坏或者用户信息被窃取。要防范 XSS 攻击需要在服务器端过滤脚本代码将一些危险的元素和属性去掉或对元素进行HTML实体编码。CSRFCSRF 是跨站请求伪造是一种挟制用户在当前已登录的Web应用上执行非本意的操作的攻击方法它首先引导用户访问一个危险网站当用户访问网站后网站会发送请求到被攻击的站点这次请求会携带用户的cookie发送因此就利用了用户的身份信息完成攻击。防御 CSRF 攻击有多种手段不使用cookie为表单添加校验的 token 校验cookie中使用sameSite字段服务器检查 referer 字段大厂面试题分享 面试题库前端后端面试题库 面试必备 推荐★★★★★地址前端面试题库
