百度2020校招Java研发工程师面试题集锦：安全防护与AOP概念

百度2020年校招Java研发工程师的笔试题（第三批）涵盖了网络安全、并发处理和面向切面编程（AOP）以及JVM内存管理等多个方面的知识。以下是对这些题目内容的详细解析： **网络安全部分** 1. **跨站脚本（XSS）与跨站请求伪造（CSRF）**： - XSS攻击是通过注入恶意代码到前端页面，利用用户的行为执行恶意操作。如题目中提到的foo.com站点截图服务，如果攻击者利用URL参数构造恶意请求，可能导致内网数据泄露，这是典型的SSRF（Server Side Request Forgery）攻击。 - CSRF攻击则是利用用户已登录的身份进行未经用户授权的操作，如假冒网站的转账服务。如果服务没有检查CSRF令牌或签名，攻击者可以通过重放攻击（模仿正常请求）窃取用户财产。 **并发控制** - **拒绝策略**：面试者需要理解不同的拒绝策略。CallerRunsPolicy会让调用者自己处理拒绝，有助于控制任务提交速度；AbortPolicy则会导致异常并丢弃任务；DiscardPolicy和DiscardOldestPolicy都涉及丢弃任务，但前者不抛出异常，后者会选择丢弃最旧的任务。 **面向切面编程（AOP）概念** - AOP术语理解：Joinpoint是指方法执行的点，Pointcut是定义在哪种类型的Joinpoint上应用切面（横切逻辑），Advice是实际的处理逻辑，而Aspect是封装切点和通知的整体组件。 **JVM内存管理** - 垃圾收集器理解：题目询问了新生代和老年代的垃圾收集器。Serial和ParNew收集器都是新生代的，它们负责处理年轻代的对象。而老年代的垃圾收集器通常包括ConcurrentMarkSweep (CMS) 和 Garbage-First (G1)，这两个是专为老年代设计的，因此答案应该是包含这两种收集器的选项。 这些题目考察了候选人在Java开发中的安全意识、并发编程理解和JVM内存管理知识，对于Java研发工程师来说，这些都是不可或缺的基础技能。解答这些问题时，不仅需要扎实的技术功底，还需要对实际的网络安全威胁有深入理解。