腾讯社招java面试题干货分享 时间：2018-01-11     来源：社招java面试经典

腾讯国内最大的社交平台，掌握着人流量最多的QQ，微信，旗下还有不计其数的子公司工作室，来研发自己的项目。

这样一个公司对于java的应用同样是非常多的，因此每年都会面对社会以及校园招收java开发人员来填补公司在java开发人员方面的空缺。

下面就给大家把腾讯的面试题中的一小部分拿出来为大家分享，希望对那些要求腾讯面试的朋友能够有一些帮助。

1 什么是XSS攻击?

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

2 -XX:ThreadStackSize 表示什么意思?

3 http1.0 与1.1的区别

翻了下HTTP1.1的协议标准RFC2616，下面是看到的一些它跟HTTP1.0的差别。

Persistent Connection(持久连接)

在HTTP1.0中，每对Request/Response都使用一个新的连接。

HTTP 1.1则支持Persistent Connection, 并且默认使用persistent connection.

Host 域

HTTP1.1在Request消息头里头多了一个Host域，比如：

GET /pub/WWW/TheProject.html HTTP/1.1

Host: www.w3.org

HTTP1.0则没有这个域。

可能HTTP1.0的时候认为，建立TCP连接的时候已经指定了IP地址，这个IP地址上只有一个host。

date/time stamp (日期时间戳)

(接收方向)

无论是HTTP1.0还是HTTP1.1，都要能解析下面三种date/time stamp：

Sun, 06 Nov 1994 08:49:37 GMT ; RFC 822, updated by RFC 1123

Sunday, 06-Nov-94 08:49:37 GMT ; RFC 850, obsoleted by RFC 1036

Sun Nov 6 08:49:37 1994 ; ANSI C's asctime() format

(发送方向)

HTTP1.0要求不能生成第三种asctime格式的date/time stamp;

HTTP1.1则要求只生成RFC 1123(第一种)格式的date/time stamp。

Transfer Codings

HTTP1.1支持chunked transfer，所以可以有Transfer-Encoding头部域:

Transfer-Encoding: chunked

HTTP1.0则没有。

Quality Values

HTTP1.1多了个qvalue域：

qvalue = ( "0" [ "." 0*3DIGIT ] )

| ( "1" [ "." 0*3("0") ] )

Entity Tags

用于Cache。

Range 和 Content-Range

HTTP1.1支持传送内容的一部分。比方说，当客户端已经有内容的一部分，为了节省带宽，可以只向服务器请求一部分。

100 (Continue) Status

100 (Continue) 状态代码的使用，允许客户端在发request消息body之前先用request header试探一下server，看server要不要接收request body，再决定要不要发request body。

客户端在Request头部中包含

Expect: 100-continue

Server看到之后呢如果回100 (Continue) 这个状态代码，客户端就继续发request body。

这个是HTTP1.1才有的。

Request method

HTTP1.1增加了OPTIONS, PUT, DELETE, TRACE, CONNECT这些Request方法.

Method = "OPTIONS" ; Section 9.2

| "GET" ; Section 9.3

| "HEAD" ; Section 9.4

| "POST" ; Section 9.5

| "PUT" ; Section 9.6

| "DELETE" ; Section 9.7

| "TRACE" ; Section 9.8

| "CONNECT" ; Section 9.9

| extension-method

extension-method = token

Status code

HTTP1.1 增加的新的status code：

(HTTP1.0没有定义任何具体的1xx status code, HTTP1.1有2个)

100 Continue

101 Switching Protocols

203 Non-Authoritative Information

205 Reset Content

206 Partial Content

302 Found (在HTTP1.0中有个 302 Moved Temporarily)

303 See Other

305 Use Proxy

307 Temporary Redirect

405 Method Not Allowed

406 Not Acceptable

407 Proxy Authentication Required

408 Request Timeout

409 Conflict

410 Gone

411 Length Required

412 Precondition Failed

413 Request Entity Too Large

414 Request-URI Too Long

415 Unsupported Media Type

416 Requested Range Not Satisfiable

417 Expectation Failed

504 Gateway Timeout

505 HTTP Version Not Supported

Content Negotiation

HTTP1.1增加了Content Negotiation，分为Server-driven Negotiation，Agent-driven Negotiation和Transparent Negotiation三种。

Cache (缓存)

HTTP1.1(RFC2616)详细展开地描述了Cache机制，详见13节。

4 jvm结构(年轻代，年老代，持久代)及 eden与survivor的比例

eden ：survivor=8:1

1.HashMap和HashTable的区别，及其实现原理。

HashTable底层是用HashMap实现的，与HashMap的区别是，HashTable是按存入顺序排序的，而HashMap不是。HashMap的原理是有一个大的table数组组成，每个数组元素是一个Entry。为了处理冲突，通常会将Entry用链表实现。

ArrayList,LinkedList 和Vector的区别和实现原理。

ArrayList是基于数组的可变长数组，因为这个特性，所以它更适合实现get和set;LinkedList是基于双向链表的，所以比较适合实现插入和删除等操作;但以上两个都是非线程安全的，Vector的实现和ArrayList差不多，改进的地方是使用synchronized实现了线程安全。

TreeMap和TreeSet区别和实现原理。

其中 TreeMap 是 Map 接口的常用实现类，而 TreeSet 是 Set 接口的常用实现类。TreeSet 底层是通过 TreeMap 来实现的(如同HashSet底层是是通过HashMap来实现的一样)，因此二者的实现方式完全一样。而 TreeMap 的实现就是红黑树算法。

1.TCP/UDP区别，TCP三次握手，SYN攻击

TCP是面向连接的可靠传输，需要三次握手，保证可靠通信;有重传机制;

UDP是无连接的不可靠传输，但是速度快，适用于视频和电话会议等实时应用场景;

TCP三次握手是：SYN=x(SYN_SEND)、ACK=x+1,SYN=y(SYN_RECV)、ACK=y+1(ESTABLISHED);

SYN攻击是：SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。

检测SYN攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。

一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范。过滤网关防护主要包括超时设置，SYN网关和SYN代理三种。调整tcp/ip协议栈，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。

但一般服务器所能承受的连接数量比半连接数量大得多

2.SHA，MD5

SHA(安全哈希算法)：该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段(通常更小)密文，也可以简单的理解为取一串输入码(称为预映射或信息)，并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。可以对任意长度的数据运算生成一个160位的数值。SHA将输入流按照每块512位(64个字节)进行分块，并产生20个字节的被称为信息认证代码或信息摘要的输出。SHA-1是不可逆的、防冲突，并具有良好的雪崩效应。

MD5(信息-摘要算法5)：MD5将任意长度的“字节串”映射为一个128bit的大整数。MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。