当前位置：首页 > news >正文

以30个面试问题和案例为导向：全面解析 Java Servlet是什么？基本概念、实现原理、生命周期、类结构、请求与响应的处理机制，以及性能优化和安全性管理

news 2025/7/6 2:24:21

Servlet 是 Java Web 开发的核心组件之一，负责处理客户端请求并生成动态响应。本文将深入探讨 Servlet 的基本概念、实现原理、生命周期、类结构、请求与响应的处理机制，以及性能优化和安全性管理，帮助开发者从多方面掌握 Servlet。

文章目录

1. Servlet的基本概念
- 1.1 Servlet 是什么？它的作用是什么？
- - 作用：
  - 案例：
- 1.2 Servlet 和 JSP 之间的区别
- - 案例：
- 1.3 Servlet 和其他 Java EE 组件的关系
- - 案例：
2. Servlet 的实现原理
- 2.1 Servlet 是如何与 HTTP 协议进行交互的？
- - 案例：
- 2.2 Servlet 容器如何管理和调度 Servlet？
- - 容器调度流程：
- 2.3 Servlet 容器如何处理并发请求？如何保证线程安全？
- - 处理线程安全问题的方式：
  - 案例：
3. Servlet 的生命周期
- 3.1 Servlet 的生命周期是怎样的？有哪些关键阶段？
- 3.2 `init()`、`service()` 和 `destroy()` 的作用
- - 案例：
- 3.3 Servlet 的生命周期管理由谁负责？
- 3.4 如何确保资源的正确初始化和释放？
4. Servlet 类的结构与类型
- 4.1 Servlet 类有哪些常见的实现类？
- 4.2 `GenericServlet` 和 `HttpServlet` 的区别
- 4.3 如何自定义一个 Servlet？有哪些基本步骤？
- - 案例：
5. Servlet 中的请求与响应
- 5.1 Servlet 如何处理 HTTP 请求？有哪些常见的请求方法？
- - 案例：
- 5.2 如何在 Servlet 中获取请求参数？如何处理文件上传？
- - 案例：获取表单参数
  - 案例：文件上传处理
- 5.3 如何发送 HTTP 响应？如何设置响应的状态码、内容类型和输出流？
- - 案例：发送 JSON 响应
- 5.4 Servlet 如何处理重定向和请求转发？它们的区别是什么？
- - 区别：
  - 案例：重定向
- 案例：请求转发
6. Servlet 的配置与部署
- 6.1 在 `web.xml` 中如何配置 Servlet？有哪些配置选项？
- - 案例：`web.xml` 中的 Servlet 配置
- 6.2 什么是 Servlet 的 URL 映射？如何定义 Servlet 的访问路径？
- - 案例：使用 `@WebServlet` 注解映射 URL
- 6.3 如何使用注解来配置 Servlet（如 `@WebServlet`）？
- - 案例：使用 `@WebServlet` 注解配置 Servlet
7. Servlet 的会话管理
- 7.1 什么是 Session 和 Cookie？Servlet 如何管理它们？
- - 案例：使用 Session 管理用户会话
- 7.2 如何在 Servlet 中维护用户会话？
- - 案例：访问用户会话信息
- 7.3 Session 的生命周期是怎样的？如何避免 Session 丢失？
- - 配置 Session 过期时间的案例：
8. Servlet 的性能优化
- 8.1 如何提高 Servlet 的并发处理能力？
- - 案例：Servlet 异步处理
- 8.2 Servlet 的性能瓶颈有哪些？如何进行调优？
- 8.3 Servlet 中如何使用缓存来提升响应速度？
- - 案例：设置页面缓存
9. Servlet 与安全性
- 9.1 Servlet 如何处理身份验证和授权？
- - 案例：在 `web.xml` 中配置安全约束
- 9.2 Servlet 如何防御常见的 Web 安全攻击？
- - 案例：使用 `PreparedStatement` 防止 SQL 注入
- 9.3 如何在 Servlet 中使用 HTTPS 和 SSL 进行安全通信？
- - 配置 HTTPS 的步骤：
  - 案例：强制使用 HTTPS
总结
- 三大域对象的比较

1. Servlet的基本概念

1.1 Servlet 是什么？它的作用是什么？

Servlet 是 Java EE 中用于生成动态 Web 内容的服务器端组件，负责接收来自客户端（通常是 Web 浏览器）的 HTTP 请求，处理后生成响应。Servlet 运行在 Servlet 容器（如 Tomcat、Jetty 等）中，它是 Java Web 应用程序的基础。

作用：

处理客户端请求（如表单提交、AJAX 请求）
与数据库或其他后端服务交互
根据业务逻辑生成响应，通常是 HTML 页面或 JSON 数据

案例：

假设你有一个登录页面，用户输入用户名和密码并点击登录。Servlet 可以处理这个请求，验证用户名和密码是否正确，并返回一个结果页面。如果登录成功，可能重定向到用户主页；如果失败，则返回错误消息。

@WebServlet("/login")
public class LoginServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String username = request.getParameter("username");String password = request.getParameter("password");if ("admin".equals(username) && "1234".equals(password)) {response.sendRedirect("home.jsp");} else {response.getWriter().println("Invalid login credentials");}}
}

1.2 Servlet 和 JSP 之间的区别

Servlet 和 JSP 都用于生成动态 Web 内容，但它们的角色不同：

Servlet：偏向于逻辑处理，适合处理复杂的业务逻辑和控制流程。
JSP：主要用于表示层，负责将 HTML 页面与 Java 代码混合，方便页面开发。

特性	Servlet	JSP
语法	纯 Java 代码	HTML 中嵌入 Java 代码
用途	控制和业务逻辑	页面展示
编译过程	原生 Java 类	被编译成 Servlet
开发难度	比 JSP 难，逻辑代码较多	易于使用，适合前端开发人员

案例：

在大型应用中，你可能会使用 Servlet 处理业务逻辑，而将结果转发到 JSP 页面进行展示。例如，一个查询数据库的 Servlet 可以将查询结果传递给 JSP 页面进行渲染。

@WebServlet("/queryUser")
public class UserQueryServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {List<User> users = userService.queryAllUsers();request.setAttribute("userList", users);request.getRequestDispatcher("/userList.jsp").forward(request, response);}
}

1.3 Servlet 和其他 Java EE 组件的关系

Servlet 在 Java EE 中通常与以下组件协同工作：

Filter：用于在请求到达 Servlet 之前或响应发出之前对请求或响应进行过滤。常用于日志、权限验证等场景。
Listener：用于监听 Servlet 容器中的各种事件（如请求创建、Session 创建、应用上下文初始化等），常用于状态监控、资源初始化。

案例：

使用 Filter 进行权限验证。在每个请求到达特定 Servlet 之前，先检查用户是否已登录。未登录则重定向到登录页面。

@WebFilter("/protected/*")
public class AuthFilter implements Filter {public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest) request;HttpSession session = req.getSession(false);if (session == null || session.getAttribute("user") == null) {((HttpServletResponse) response).sendRedirect("/login.jsp");} else {chain.doFilter(request, response);}}
}

2. Servlet 的实现原理

2.1 Servlet 是如何与 HTTP 协议进行交互的？

Servlet 基于 HTTP 协议工作，客户端通过 HTTP 请求访问服务器资源，Servlet 通过 HttpServletRequest 和 HttpServletResponse 与 HTTP 协议交互。

HttpServletRequest：封装了来自客户端的请求信息，包括请求参数、请求头、Cookie 等。
HttpServletResponse：用于将服务器处理结果返回给客户端，可以设置状态码、响应头、响应内容等。

案例：

一个典型的 Servlet 响应流程：客户端通过浏览器发送 GET 请求访问 /hello，服务器通过 HttpServletResponse 返回 HTML 内容。

@WebServlet("/hello")
public class HelloServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.setContentType("text/html");PrintWriter out = response.getWriter();out.println("<h1>Hello, World!</h1>");}
}

2.2 Servlet 容器如何管理和调度 Servlet？

Servlet 容器（如 Tomcat）负责管理 Servlet 的生命周期，包括创建、初始化、处理请求和销毁。容器通过 URL 映射找到对应的 Servlet，创建一个线程来处理该请求，并通过线程池来管理并发请求。

容器调度流程：

接收请求：客户端发送 HTTP 请求到服务器。
URL 映射：根据请求的 URL 映射到对应的 Servlet。
线程处理：容器为每个请求分配一个线程，调用 Servlet 的 service() 方法处理请求。
生成响应：Servlet 处理完后，通过 HttpServletResponse 返回响应。

2.3 Servlet 容器如何处理并发请求？如何保证线程安全？

Servlet 容器使用线程池来处理并发请求，每个请求在独立的线程中处理。Servlet 默认是多线程的，多个请求可以并发访问同一个 Servlet 实例，因此可能存在线程安全问题。

处理线程安全问题的方式：

局部变量：避免使用共享变量，将数据存储在局部变量中。
同步锁：对共享资源进行同步，但可能导致性能瓶颈。
无状态设计：尽量避免在 Servlet 中存储状态信息，保持无状态的设计有助于提高并发能力。

案例：

假设我们有一个计数器 Servlet，它记录访问的次数。如果不加同步，可能会出现并发问题。

@WebServlet("/counter")
public class CounterServlet extends HttpServlet {private int count = 0;protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {synchronized (this) {count++;}response.getWriter().println("Count: " + count);}
}

3. Servlet 的生命周期

3.1 Servlet 的生命周期是怎样的？有哪些关键阶段？

Servlet 的生命周期由 Servlet 容器管理，包含以下关键阶段：

加载和实例化：当 Servlet 第一次被请求或容器启动时，容器会加载 Servlet 类并实例化它。
初始化：调用 init() 方法进行初始化，通常在这个阶段分配资源，如数据库连接。
请求处理：每次请求都会调用 service() 方法，该方法根据请求类型（GET、POST 等）调用相应的 doGet() 或 doPost()。
销毁：当 Servlet 容器关闭或重新加载应用时，调用 destroy() 方法释放资源。

3.2 `init()`、`service()` 和 `destroy()` 的作用

init()：Servlet 的初始化方法，通常用于资源分配或初始化参数读取。
service()：每次请求调用该方法，负责分发请求到 doGet()、doPost() 等方法。
destroy()：在 Servlet 被卸载或容器关闭时调用，用于释放资源。

案例：

@WebServlet("/example")
public class ExampleServlet extends HttpServlet {public void init() throws ServletException {// 初始化资源，如数据库连接System.out.println("Servlet is being initialized");}protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.getWriter().println("Servlet is handling a GET request");}public void destroy() {// 释放资源System.out.println("Servlet is being destroyed");}
}

3.3 Servlet 的生命周期管理由谁负责？

Servlet 的生命周期由 Servlet 容器（如 Tomcat、Jetty）管理，开发者只需关注如何编写 init()、service() 和 destroy() 方法，其他生命周期管理细节由容器负责。

3.4 如何确保资源的正确初始化和释放？

为了确保资源的正确初始化和释放，应该：

在 init() 方法中初始化需要的资源，如数据库连接。
在 destroy() 方法中释放这些资源，避免资源泄漏。

4. Servlet 类的结构与类型

4.1 Servlet 类有哪些常见的实现类？

Servlet 是一个接口，常见的实现类有以下两种：

GenericServlet：一个协议无关的基础 Servlet 类，所有具体的 Servlet 实现都可以继承自它。它实现了 Servlet 接口的所有方法，并引入了 service() 方法，开发者可以通过继承 GenericServlet 来扩展任意协议的 Servlet。
HttpServlet：是专门用于处理 HTTP 协议请求的子类。它继承自 GenericServlet，并提供了 doGet()、doPost() 等方法来处理不同的 HTTP 请求类型。

4.2 `GenericServlet` 和 `HttpServlet` 的区别

GenericServlet：与协议无关，适用于除 HTTP 之外的其他协议。开发者需要自行实现 service() 方法。
HttpServlet：是 GenericServlet 的子类，专门处理 HTTP 请求，提供了简便的方法，如 doGet()、doPost()，让开发者可以直接处理不同的 HTTP 请求类型。

特性	`GenericServlet`	`HttpServlet`
协议	通用协议	HTTP 协议
方法	需要自己实现 `service()`	提供了 `doGet()`、`doPost()` 等
用途	适用于任意协议的 Servlet	专门处理 HTTP 请求

4.3 如何自定义一个 Servlet？有哪些基本步骤？

自定义一个 Servlet 主要包括以下步骤：

继承 HttpServlet 类：选择继承 HttpServlet，因为大多数 Web 应用使用 HTTP 协议。
覆盖请求处理方法：实现 doGet() 或 doPost() 方法来处理客户端请求。
部署到 Servlet 容器中：通过 web.xml 配置文件或使用注解配置 Servlet，并将其部署到 Servlet 容器中。

案例：

创建一个自定义的 HelloServlet，处理 GET 请求，并返回一段简单的 HTML 代码。

@WebServlet("/hello")
public class HelloServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.setContentType("text/html");PrintWriter out = response.getWriter();out.println("<h1>Hello, World!</h1>");}
}

在这个案例中，HelloServlet 继承了 HttpServlet，重写了 doGet() 方法来处理 GET 请求。

5. Servlet 中的请求与响应

5.1 Servlet 如何处理 HTTP 请求？有哪些常见的请求方法？

Servlet 使用 HttpServletRequest 对象处理 HTTP 请求，常见的请求方法包括：

GET：用于获取资源，通常在浏览器地址栏输入 URL 或点击链接时触发。
POST：用于提交表单数据，数据在请求体中传递。
PUT：用于更新资源。
DELETE：用于删除资源。

案例：

处理不同的 HTTP 请求方法，分别响应 GET 和 POST 请求。

@WebServlet("/user")
public class UserServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.getWriter().println("This is a GET request.");}protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.getWriter().println("This is a POST request.");}
}

5.2 如何在 Servlet 中获取请求参数？如何处理文件上传？

获取请求参数：可以通过 HttpServletRequest.getParameter() 方法获取请求中的参数，例如从表单提交的数据中获取参数。

案例：获取表单参数

@WebServlet("/login")
public class LoginServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String username = request.getParameter("username");String password = request.getParameter("password");response.getWriter().println("Username: " + username + ", Password: " + password);}
}

文件上传处理：Servlet 3.0 提供了文件上传的支持，可以使用 @MultipartConfig 注解和 Part 对象处理文件上传。

案例：文件上传处理

@WebServlet("/upload")
@MultipartConfig
public class FileUploadServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {Part filePart = request.getPart("file"); // 获取文件String fileName = filePart.getSubmittedFileName(); // 获取文件名InputStream fileContent = filePart.getInputStream(); // 获取文件内容// 保存文件或处理上传的内容response.getWriter().println("File uploaded: " + fileName);}
}

5.3 如何发送 HTTP 响应？如何设置响应的状态码、内容类型和输出流？

Servlet 可以通过 HttpServletResponse 发送响应。常见操作包括：

设置状态码：使用 response.setStatus() 设置状态码，如 200、404、500 等。
设置内容类型：使用 response.setContentType() 设置响应类型，如 text/html、application/json。
使用输出流：通过 response.getWriter() 或 response.getOutputStream() 返回响应数据。

案例：发送 JSON 响应

@WebServlet("/json")
public class JsonServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.setContentType("application/json");PrintWriter out = response.getWriter();out.println("{\"message\": \"Hello, JSON!\"}");}
}

5.4 Servlet 如何处理重定向和请求转发？它们的区别是什么？

重定向：使用 response.sendRedirect()，告诉客户端发起新的请求，常用于登录后的页面跳转。
请求转发：使用 RequestDispatcher.forward()，在服务器端将请求转发给另一个资源，而客户端无法察觉。

区别：

重定向：客户端会看到 URL 变化，发起两次请求。
请求转发：URL 不变，发生在服务器端，仅发起一次请求。

案例：重定向

@WebServlet("/redirect")
public class RedirectServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.sendRedirect("/newPage");}
}

案例：请求转发

@WebServlet("/forward")
public class ForwardServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {RequestDispatcher dispatcher = request.getRequestDispatcher("/newPage");dispatcher.forward(request, response);}
}

6. Servlet 的配置与部署

6.1 在 `web.xml` 中如何配置 Servlet？有哪些配置选项？

web.xml 是 Servlet 配置文件，用于定义 Servlet 的映射、初始化参数等。常见配置项包括：

<servlet>：定义 Servlet 的名称和类。
<servlet-mapping>：定义 Servlet 的 URL 映射。
<init-param>：定义 Servlet 的初始化参数。

案例：`web.xml` 中的 Servlet 配置

<web-app><servlet><servlet-name>helloServlet</servlet-name><servlet-class>com.example.HelloServlet</servlet-class></servlet><servlet-mapping><servlet-name>helloServlet</servlet-name><url-pattern>/hello</url-pattern></servlet-mapping>
</web-app>

6.2 什么是 Servlet 的 URL 映射？如何定义 Servlet 的访问路径？

URL 映射是将客户端请求的 URL 路径映射到特定的 Servlet 上。通过 web.xml 中的 <url-pattern> 或 @WebServlet 注解来定义访问路径。

案例：使用 `@WebServlet` 注解映射 URL

@WebServlet("/hello")
public class HelloServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.getWriter().println("Hello, Servlet!");}
}

6.3 如何使用注解来配置 Servlet（如 `@WebServlet`）？

自 Servlet 3.0 以来，可以使用注解来配置 Servlet，简化了配置过程，减少了对 web.xml 的依赖。

案例：使用 `@WebServlet` 注解配置 Servlet

@WebServlet(urlPatterns = {"/hello", "/greet"})
public class GreetingServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.getWriter().println("Greetings from Servlet!");}
}

7. Servlet 的会话管理

7.1 什么是 Session 和 Cookie？Servlet 如何管理它们？

Session：服务器端保存的用户会话信息，它在多个请求之间保存用户状态。每个用户在访问服务器时都会有一个唯一的 Session ID，服务器通过这个 ID 来识别不同的用户会话。
Cookie：客户端保存的小块数据，用来存储用户的状态信息。浏览器会在之后的请求中自动带上 Cookie，帮助服务器识别用户。Session 的 Session ID 通常通过 Cookie 存储在客户端。

案例：使用 Session 管理用户会话

@WebServlet("/login")
public class LoginServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String username = request.getParameter("username");HttpSession session = request.getSession(); // 获取或创建一个新的会话session.setAttribute("username", username); // 保存用户信息到会话中response.getWriter().println("User logged in: " + username);}
}

7.2 如何在 Servlet 中维护用户会话？

HttpSession：使用 HttpSession 对象管理用户会话，可以通过 request.getSession() 方法获取会话对象。
可以通过 session.setAttribute() 设置会话属性，使用 session.getAttribute() 获取属性。

案例：访问用户会话信息

@WebServlet("/dashboard")
public class DashboardServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {HttpSession session = request.getSession(false); // 获取已有会话if (session != null && session.getAttribute("username") != null) {String username = (String) session.getAttribute("username");response.getWriter().println("Welcome back, " + username);} else {response.getWriter().println("No active session found. Please log in.");}}
}

7.3 Session 的生命周期是怎样的？如何避免 Session 丢失？

Session 的生命周期：
- Session 从创建到销毁经历以下阶段：
  1. 创建：用户第一次访问服务器时，服务器为该用户创建一个新的会话。
  2. 活跃状态：在用户交互期间，Session 处于活跃状态。
  3. 过期：如果用户长时间不与服务器交互，Session 会自动过期（默认 30 分钟）。
  4. 销毁：服务器可以在 Session 超时或通过 session.invalidate() 手动销毁 Session。
避免 Session 丢失的方法：
- 增加 Session 的过期时间：通过 web.xml 文件或在代码中设置。
- 使用持久化 Session 的方式（如分布式缓存）来应对多服务器集群中 Session 的丢失。

配置 Session 过期时间的案例：

<session-config><session-timeout>60</session-timeout> <!-- 设置 Session 过期时间为 60 分钟 -->
</session-config>

8. Servlet 的性能优化

8.1 如何提高 Servlet 的并发处理能力？

Servlet 默认使用多线程处理请求，可以通过以下方式优化并发处理能力：

线程池：通过 Servlet 容器配置线程池，避免频繁创建和销毁线程，提高并发能力。
非阻塞 I/O：使用非阻塞 I/O（如 NIO）减少 I/O 操作的等待时间，提高系统响应速度。
异步处理：Servlet 3.0 引入了异步处理，可以将耗时操作放到独立的线程中执行，减少主线程的阻塞。

案例：Servlet 异步处理

@WebServlet(urlPatterns = "/async", asyncSupported = true)
public class AsyncServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {AsyncContext asyncContext = request.startAsync(); // 启动异步上下文asyncContext.start(() -> {try {// 模拟耗时操作Thread.sleep(5000);PrintWriter out = asyncContext.getResponse().getWriter();out.println("Async task completed.");asyncContext.complete(); // 任务完成，关闭异步上下文} catch (Exception e) {e.printStackTrace();}});}
}

8.2 Servlet 的性能瓶颈有哪些？如何进行调优？

常见的性能瓶颈：

I/O 操作缓慢：如数据库查询、文件读取等，可以通过使用缓存或异步 I/O 来提升性能。
线程管理不当：线程创建和销毁成本高，建议使用线程池管理。
Session 管理不当：过多的 Session 或不合理的 Session 超时时间会占用大量内存，可以通过优化 Session 管理策略来减少内存开销。

8.3 Servlet 中如何使用缓存来提升响应速度？

页面缓存：使用 Cache-Control 或 Expires 响应头来设置页面缓存。
数据缓存：对于频繁访问的数据，可以将其缓存到内存中，减少数据库查询次数。

案例：设置页面缓存

@WebServlet("/cachedPage")
public class CachedPageServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.setHeader("Cache-Control", "max-age=3600"); // 缓存页面 1 小时response.getWriter().println("This page is cached for 1 hour.");}
}

9. Servlet 与安全性

9.1 Servlet 如何处理身份验证和授权？

身份验证：通常通过用户登录进行身份验证，Servlet 可以使用 HttpSession 存储用户的认证状态。
授权：通过用户的角色和权限控制对特定资源的访问，使用 web.xml 中的 <security-constraint> 标签或通过代码实现权限控制。

案例：在 `web.xml` 中配置安全约束

<security-constraint><web-resource-collection><web-resource-name>Protected Area</web-resource-name><url-pattern>/admin/*</url-pattern></web-resource-collection><auth-constraint><role-name>admin</role-name></auth-constraint>
</security-constraint><login-config><auth-method>BASIC</auth-method><realm-name>Admin Area</realm-name>
</login-config>

9.2 Servlet 如何防御常见的 Web 安全攻击？

SQL 注入：通过使用预编译语句（PreparedStatement）来防止 SQL 注入。
XSS（跨站脚本攻击）：对用户输入进行编码，防止恶意脚本注入到 HTML 中。
CSRF（跨站请求伪造）：使用 CSRF 令牌（CSRF Token）进行验证，确保请求是由合法用户发起的。

案例：使用 `PreparedStatement` 防止 SQL 注入

String query = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement stmt = connection.prepareStatement(query);
stmt.setString(1, username);
stmt.setString(2, password);
ResultSet rs = stmt.executeQuery();

9.3 如何在 Servlet 中使用 HTTPS 和 SSL 进行安全通信？

通过配置服务器支持 HTTPS，并使用 SSL 证书加密通信，确保数据传输的安全性。

配置 HTTPS 的步骤：

获取 SSL 证书。
在服务器中配置 HTTPS。
强制所有请求使用 HTTPS，可以通过 web.xml 中的 <security-constraint> 标签进行配置。

案例：强制使用 HTTPS

<security-constraint><web-resource-collection><web-resource-name>Secure Area</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint>
</security-constraint>

总结

三大域对象的比较

特性	HttpServletRequest（请求对象）	HttpSession（用户会话对象）	ServletContext（全局对象）
作用域	单次请求	用户会话范围	整个应用程序范围
生命周期	一次请求内有效	用户会话期间有效	应用启动到应用停止期间有效
典型用途	请求参数传递，转发数据	存储用户登录状态、购物车信息等	存储全局配置信息或资源
常用方法	`getParameter()`，`setAttribute()`	`getAttribute()`，`setAttribute()`	`getInitParameter()`，`getRealPath()`
数据共享	同一次请求的各个组件共享数据	同一用户的多个请求间共享数据	应用程序的所有用户共享数据

通过对三大域对象的深入理解，我们能够根据不同的场景选择合适的对象来存储和共享数据，合理利用这些域对象可以有效提升 JavaWeb 应用的开发效率与性能。

Servlet 作为 Java Web 开发的核心，涵盖了请求处理、并发管理、会话维护、安全防护等多个方面。掌握 Servlet 对构建高性能、可靠的 Web 应用至关重要。