互联网应用课程习题与解析

互联网应用课程习题与解析核心要点：`display:flex`将`<ul>`转换为Flex容器，其子元素`<li>`自动成为Flex项目。`justify-content:space-around`实现导航项的均匀分布。通过`:hover`伪类定义鼠标悬停效果，并添加`transition`实现平滑过渡。（三）服务端技术与数据库交互习题5：设计题某在线图书商城需要设计一个简单的用户订单系统，包含用户（User）、图书（Book）和订单（Order）三个核心实体。请根据以下需求，设计数据库表结构（至少包含各表的主键、外键及核心字段），并说明表之间的关系。每个用户可以下多个订单。每个订单可以包含多本图书，且需记录每本图书的购买数量和单价。解析：根据需求，需设计至少三张表：`user`（用户表）、`book`（图书表）、`order`（订单表），以及一张关联表`order_item`（订单项表）来处理订单与图书的多对多关系。表结构设计：1.user表（用户表）`user_id`：INT，主键，自增（唯一标识用户）。`username`：VARCHAR(50)，非空，唯一（用户名）。`password_hash`：VARCHAR(255)，非空（加密后的密码）。`register_time`：DATETIME，非空（注册时间）。2.book表（图书表）`book_id`：INT，主键，自增（唯一标识图书）。`title`：VARCHAR(200)，非空（图书标题）。`author`：VARCHAR(100)，非空（作者）。`isbn`：VARCHAR(20)，非空，唯一（国际标准书号）。`price`：DECIMAL(10,2)，非空（图书定价）。`stock`：INT，非空，默认0（库存数量）。3.order表（订单表）`order_id`：INT，主键，自增（唯一标识订单）。`user_id`：INT，非空，外键（关联user表的user_id，标识订单所属用户）。`order_time`：DATETIME，非空（下单时间）。`total_amount`：DECIMAL(10,2)，非空（订单总金额）。4.order_item表（订单项表）`item_id`：INT，主键，自增（唯一标识订单项）。`order_id`：INT，非空，外键（关联order表的order_id，标识所属订单）。`book_id`：INT，非空，外键（关联book表的book_id，标识购买的图书）。`quantity`：INT，非空，CHECK(quantity>0)（购买数量）。`unit_price`：DECIMAL(10,2)，非空（购买时的单价，可能与当前price不同）。表关系说明：user与order：一对多关系。一个用户可创建多个订单，每个订单仅属于一个用户（通过order表的`user_id`外键关联）。order与book：多对多关系。一个订单可包含多本图书，一本图书可出现在多个订单中，通过`order_item`关联表实现，该表同时记录了订单中每本图书的购买数量和单价。（四）网络安全与数据隐私习题6：论述题结合实例，论述在Web应用开发中，常见的跨站脚本攻击（XSS）的原理、危害及防御措施。解析：1.XSS攻击原理跨站脚本攻击（XSS）是一种注入式攻击，攻击者通过在网页中注入恶意JavaScript代码，当用户访问被注入的页面时，恶意代码在用户浏览器中执行，从而窃取用户Cookie、SessionID、敏感信息，或伪造用户操作（如转账、发布信息）。XSS攻击的本质是Web应用未对用户输入进行严格过滤和转义，导致恶意脚本被浏览器误认为是可信代码执行。2.危害信息窃取：获取用户Cookie后，攻击者可冒充用户身份登录系统，访问个人账户、邮件等敏感信息。会话劫持：利用窃取的SessionID接管用户会话，执行未授权操作。钓鱼攻击：在页面中注入伪装的登录表单，诱骗用户输入账号密码。恶意操作：如强制用户关注社交媒体账号、发送垃圾信息、篡改页面内容等。3.常见类型存储型XSS：恶意代码被存储在服务器数据库中（如用户评论、留言板），所有访问该页面的用户都会触发攻击。例如，在博客评论区输入`<script>alert(document.cookie)</script>`，若服务器未过滤，其他用户查看评论时会弹出Cookie信息。DOM型XSS：攻击发生在客户端，通过修改页面DOM结构执行恶意代码，无需服务器参与。例如，页面通过`document.location.hash`获取URL片段并直接插入DOM，攻击者构造`#<script>...</script>`即可触发。4.防御措施输入验证与过滤：对用户输入的所有数据（特别是文本框、评论区等）进行严格过滤，禁止或转义`<script>`、`<imgonerror>`等危险标签和事件。可使用成熟的过滤库（如OWASPJavaEncoder、Python的bleach库）。设置Cookie安全属性：`SameSite`：限制Cookie仅在同站请求中发送，减少跨站请求伪造（CSRF）风险，间接辅助XSS防御。三、总结与学习建议互联网应用课程涵盖知识面广，理论与实践结合紧密。习题练习不仅是检验知识的手段，更是深化理解、培养工程思维的关键。建议学习者在练习过程中，注重以下几点：2.动手实践：通过编写代码、搭建项目（如个人博客、简易商城）将理论知识转化为实际能力，在实践中