private final static Mg04 instance = new Mg04();

CSRF漏洞和XSS漏洞很像，但二者是有区别的，XSS容易被发现，攻击者要登录后台攻击，管理员可以发现，但CSRF是就是通过管理员来执行攻击的，攻击者只提供代码。在前端通过一些操作访问到一些后台数据信息，得到敏感信息例如内网地址，绝地路径，数据库，目录结构

可以通过B/S发布部分可公开信息。B/S结构对安全以及访问速度有着多重的考虑，建立在需要更加优化的基础上，比C/S结构有更高的要求。B/S结构的组成，方便个别构件的更换，可实现系统的无缝升级。B/S结构建立在广域网上，面向不同的用户群、分散地域，这是C/S

最大可承受停机时间是指在不引起无法恢复的业务故障的前提下，可以承受的最长业务中断时间。平均故障时间是指设备或组件预计运行的平均时间。恢复时间目标是指事件发生后，恢复正常业务操作和活动的时间长度。蠕虫是一种恶意软件，和病毒一样，能在感染系统之间进行自我复制。

做不少于7个题目，共3.5分。抓图包括学号，P图或无学号，扣0.5分 . SQL注入是指web应用程序对用户输入数据的合法性没有判断，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，以此来实现欺骗数据库服务器执行非授权的任意查

做云安全运营也有一年多时间了，对云上安全建设和运营有一点粗浅的经验，希望可以抛砖引玉，借此文章能有机会和大佬们交流 安全运营，安全建设方向的经验。阿里云几乎所有的产品都支持API调用，通过编写相关规则，可以实现自动化监控风险的功能。这里仅以安全组风险举例，

减少了类实例对象的创建-->减小了GC压力-->提升了程序的性能。类加载时就创建唯一的单例实例，不管后面用不用都创建了再说。public static Singleton getInstance(){ //方法前加synchronized关键字

　　　　HTTPToken的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串-Token来表达客户的一种方式。Token是一个很长的很复杂的宇符串，每个Token对应一个用户名存储在AP|Server能访问的文件中。当客户端发起API调用请求时，需要

　　谈到软件安全，一般要清楚部署方式，然后再考虑如何防御，而当前的软件应用，web应用部署有三种，Iass、pass和saas，这其中，后两种的部署方式占了绝大多数，这样看来，对于web应用来说，防御的方向主要就放在了服务器和web本身这两个方向。　　we

从理论上来说，只要字典足够庞大，枚举总是能够成功哒。traceroute命令利用ICMP协议定位用户计算机和目标计算机之间的所有路由器。TTL值可以反映数据包经过的路由器或网关的数量，通过操纵独立ICMP呼叫报文的TTL值和观察该报文被抛弃的返回信息，tr

2017 年 6 月 1 日，《中华人民共和国网络安全法》正式实施，这是中国建立严格的网络治理指导方针的一个重要里程碑。2019年5月13日，《网络安全等级保护基本要求》等相关国家标准正式发布，宣告“等保2.0”时代的到来。2020年1月起，美国加州的消费

　　　　b、公钥加密：身份认证，密钥交换，数据加密，常用的算法为RSA，DSA. 　　　　d、密钥交换：RSA，DH，ECDH，ECDHE. 　　　　e、然后Alice收到Bob发送过来的数据后首先用自己的私钥去解密这段密码，然后我们的对称密钥的密码就被解

　　StringBuffer和StringBuilder前者是线程安全的后者是线程不安全的，在进行编码时如果不考虑多线程或者线程安全的情况下优先使用StringBuilder，因为执行更快！

交换机端口安全，主要是针对mac地址进行安全访问的。交换机最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理。上面代码解释了：在该交换机的mac地址表里面添加一个静态的mac地址，当有新的mac地址接入该端口时，则会关闭。shutdow

String类是不可变类，即一旦一个String对象被创建以后，包含在这个对象中的字符序列是不可改变的，直至这个对象被销毁。这我们就要从内存说起，才能知道String类不可变在哪里体现出来的。

数据结构、线程安全、扩容、jdk1.7 HashMap死循环、jdk1.8 HashMap红黑树、容量必须是2的冥次。初始化HashMap的threshold字段，通过因子算出，默认为0.75，算出来是16 * 0.75为12；初始化hash种子信息；这里

按需加载对象延迟加载实际是推迟进行创建对象，直到对其调用后才进行创建初始化，延迟（懒加载）的好处是提高系统性能，避免不必要的计算以及不必要的资源浪费。对象创建成本高且程序可能不会使用它。通过使用 Lazy来声明 Orders对象用于迟缓初始化，可以避免在不

该函数读取证书文件，证书文件通常都进行了加密保护。普及一下，证书文件里肯定是有公钥的，一般没私钥，某些情况会把私钥也包含进去，但那样作太不安全了，原则上私钥是永远不会给别人看到的，就算是进行了加密保护。

单例模式，从我看 《Java 10分钟入门》那天就听过的一个设计模式，还被面试过好几次的设计模式问题，今天一网打尽~~有一些对象我们确实只需要一个，比如，线程池、数据库连接、缓存、日志对象等，如果有多个的话，会造成程序的行为异常，资源使用过量或者不一致的问

1、数据一致性如何保证 线程安全在三个方面体现: 1.原子性：提供互斥访问，串行线程； 2.可见性：一个线程对主内存的修改可以及时地被其他线程看到，； 3.有序性：一个线程观察其他线程中的指令执行顺序，由于指令重排序，该观察结果一般