web 測試一直是大廠軟件測試問到的一個重點，下面給大家展示下大廠關(guān)于web 測試經(jīng)常會問到的一些問題，以及解析。看當(dāng)面試官問到你這些問題的時候，你是否也能夠?qū)Υ鹑缌鳌?/p>

注意，注意，小編這邊給大家準(zhǔn)備了web 測試，接口測試，App 測試，管理工具，等等核心知識點的整理。需要的朋友可以加微信：17377780894獲取軟件測試學(xué)習(xí)核心知識點。

web 測試面試真題及解析：

一，描述用瀏覽器訪問 www.baidu.com 的過程

1，先要解析出 baidu.com 對應(yīng)的 ip 地址：

• 要先使用 arp 獲取默認(rèn)網(wǎng)關(guān)的 mac 地址

• 組織數(shù)據(jù)發(fā)送給默認(rèn)網(wǎng)關(guān)(ip 還是 dns 服務(wù)器的 ip，但是 mac 地址是默認(rèn)網(wǎng)關(guān)的 mac 地址)

• 默認(rèn)網(wǎng)關(guān)擁有轉(zhuǎn)發(fā)數(shù)據(jù)的能力，把數(shù)據(jù)轉(zhuǎn)發(fā)給路由器

• 路由器根據(jù)自己的路由協(xié)議，來選擇一個合適的較快的路徑轉(zhuǎn)發(fā)數(shù)據(jù)給目的網(wǎng)關(guān)

• 目的網(wǎng)關(guān)(dns 服務(wù)器所在的網(wǎng)關(guān))，把數(shù)據(jù)轉(zhuǎn)發(fā)給 dns 服務(wù)

• dns 服務(wù)器查詢解析出 baidu.com 對應(yīng)的 ip 地址，并原路返回請求這個域名的 client 得到了

• baidu.com 對應(yīng)的 ip 地址之后，會發(fā)送 tcp 的 3 次握手，進(jìn)行連接

• 使用 http 協(xié)議發(fā)送請求數(shù)據(jù)給 web 服務(wù)器

• web 服務(wù)器收到數(shù)據(jù)請求之后，通過查詢自己的服務(wù)器得到相應(yīng)的結(jié)果，原路返回給瀏覽器

• 瀏覽器接收到數(shù)據(jù)之后通過瀏覽器自己的渲染功能來顯示這個網(wǎng)頁

• 瀏覽器關(guān)閉 tcp 連接，即 4 次揮手結(jié)束，完成整個訪問過程

2，了解的常用瀏覽器有哪些？

IE，Chrome，Safari，F(xiàn)irefox，Opera

二，以京東首頁為例 ，設(shè)計用例框架 。 （注意框架設(shè)計邏輯，區(qū)域劃分 ，?？错棞y試等，不需要詳細(xì)用例，需要查看 PC 可直接和辨識管提要求）

三，如何測試購買下單和退貨流程

產(chǎn)品經(jīng)理設(shè)計了單品優(yōu)惠，組合優(yōu)惠，訂單優(yōu)惠，優(yōu)惠券優(yōu)惠（優(yōu)惠券優(yōu)惠包含通用券，定向券，滿減券，折扣券）和禮品卡，其中禮品卡上需要單獨購買的。請問如何測試購買下單和退貨流程，需要注意什么？（包含數(shù)據(jù)存儲）

四，什么是 sql 注入，什么是跨站腳本，什么是跨站請求偽造？

SQL 注入攻擊是注入攻擊最常見的形式（此外還有 OS 注入攻擊（Struts 2 的高危漏洞就是通過OGNL 實施 OS 注入攻擊導(dǎo)致的）），當(dāng)服務(wù)器使用請求參數(shù)構(gòu)造 SQL 語句時，惡意的 SQL 被嵌入到 SQL 中交給數(shù)據(jù)庫執(zhí)行。SQL 注入攻擊需要攻擊者對數(shù)據(jù)庫結(jié)構(gòu)有所了解才能進(jìn)行，攻擊者想要獲得表結(jié)構(gòu)有多種方式：

（1）如果使用開源系統(tǒng)搭建網(wǎng)站，數(shù)據(jù)庫結(jié)構(gòu)也是公開的（目前有很多現(xiàn)成的系統(tǒng)可以直接搭建論壇 ，電商網(wǎng)站，雖然方便快捷但是風(fēng)險是必須要認(rèn)真評估的）；

（2）錯誤回顯（如果將服務(wù)器的錯誤信息直接顯示在頁面上，攻擊者可以通過非法參數(shù)引發(fā)頁面錯誤從而通過錯誤信息了解數(shù)據(jù)庫結(jié)構(gòu)，Web 應(yīng)用應(yīng)當(dāng)設(shè)置友好的錯誤頁，一方面符合最小驚訝原則，一方面屏蔽掉可能給系統(tǒng)帶來危險的錯誤回顯信息）；

（3）盲注。防范 SQL 注入攻擊也可以采用消毒的方式，通過正則表達(dá)式對請求參數(shù)進(jìn)行驗證，此外， 參數(shù)綁定也是很好的手段，這樣惡意的 SQL 會被當(dāng)做 SQL 的參數(shù)而不是命令被執(zhí)行，JDBC 中的 PreparedStatement 就是支持參數(shù)綁定的語句對象，從性能和安全性上都明顯優(yōu)于 Statement。

XSS（Cross Site Script，跨站腳本攻擊）是向網(wǎng)頁中注入惡意腳本在用戶瀏覽網(wǎng)頁時在用戶瀏覽器中執(zhí)行惡意腳本的攻擊方式。跨站腳本攻擊分有兩種形式：反射型攻擊（誘使用戶點擊一個嵌入惡意腳本的鏈接以達(dá)到攻擊的目標(biāo)，目前有很多攻擊者利用論壇、微博發(fā)布含有惡意腳本的 URL 就屬于這種方式）持久型攻擊（將惡意腳本提交到被攻擊網(wǎng)站的數(shù)據(jù)庫中，用戶瀏覽網(wǎng)頁時，惡意腳本從數(shù)據(jù)庫中被加載到頁面執(zhí)行，QQ 郵箱的早期版本就曾經(jīng)被利用作為持久型跨站腳本攻擊的平臺）。

CSRF 攻擊（Cross Site Request Forgery，跨站請求偽造）是攻擊者通過跨站請求，以合法的用戶身份進(jìn)行非法操作（如轉(zhuǎn)賬或發(fā)帖等）。CSRF 的原理是利用瀏覽器的 Cookie 或服務(wù)器的 Session，盜取用戶身份，其原理如下圖所示。防范 CSRF 的主要手段是識別請求者的身份，主要有以下幾種方式：

（1）在表單中添加令牌（token）；

（2）驗證碼；

（3）檢查請求頭中的 Referer（前面提到防圖片盜鏈接也是用的這種方式）。

令牌和驗證都具有一次消費性的特征，因此在原理上一致的，但是驗證碼是一種糟糕的用戶體驗，不是必要的情況下不要輕易使用驗證碼，目前很多網(wǎng)站的做法是如果在短時間內(nèi)多次提交一個表單未獲得成功后才要求提供驗證碼，這樣會獲得較好的用戶體驗。

五，給你一個網(wǎng)站怎么開展測試？

1. 首先，查找需求說明、網(wǎng)站設(shè)計等相關(guān)文檔，分析測試需求。

2. 制定測試計劃，確定測試范圍和測試策略，一般包括以下幾個部分：功能性測試，界面測試，性能測試，數(shù)據(jù)庫測試，安全性測試，.兼容性測試

3. 設(shè)計測試用例：

（1）功能性測試可以包括，但不限于以下幾個方面：鏈接測試；鏈接是否正確跳轉(zhuǎn)，是否存在空頁面和無效頁面，是否有不正確的出錯信息返回等；提交功能的測試；多媒體元素是否可以正確加載和顯示；多語言支持是否能夠正確顯示選擇的語言等

（2）界面測試可以包括但不限于以下幾個方面：頁面是否風(fēng)格統(tǒng)一，美觀。頁面布局是否合理，重點內(nèi)容和熱點內(nèi)容是否突出。控件是否正常使用。對于必須但為安裝的空間，是否提供自動下載并安裝的功能。文字檢查。

（3）性能測試一般從以下兩個方面考慮：壓力測試，負(fù)載測試，強度測試

（4）數(shù)據(jù)庫測試要具體決定是否需要開展。數(shù)據(jù)庫一般需要考慮連結(jié)性，對數(shù)據(jù)的存取操作，數(shù)據(jù)內(nèi)容的驗證等方面。

（5）安全性測試：基本的登錄功能的檢查；是否存在溢出錯誤，導(dǎo)致系統(tǒng)崩潰或者權(quán)限泄露；相關(guān)開發(fā)語言的常見安全性問題檢查，例如 SQL 注入等；如果需要高級的安全性測試，確定獲得專業(yè)安全公司的幫助，外包測試，或者獲取支持。

（6）兼容性測試，根據(jù)需求說明的內(nèi)容，確定支持的平臺組合：瀏覽器的兼容性；操作系統(tǒng)的兼容性； 軟件平臺的兼容性；數(shù)據(jù)庫的兼容性。

4. 開展測試，并記錄缺陷。合理的安排調(diào)整測試進(jìn)度，提前獲取測試所需的資源，建立管理體系（例如， 需求變更、風(fēng)險、配置、測試文檔、缺陷報告、人力資源等內(nèi)容）。

5. 定期評審，對測試進(jìn)行評估和總結(jié)，調(diào)整測試的內(nèi)容

六，電商支付模塊的測試如何展開？

支付流程里面就涉及到了第三方支付接口：

• 下單接口

商戶提交下單請求到第三方支付接口，第三方支付收單成功后返回下單成功結(jié)果給到商戶系統(tǒng)。（下單接口的最終處理結(jié)果分為下單成功和下單失敗，若未收到明確結(jié)果可調(diào)用單筆訂單查詢接口查詢結(jié)果。）

• 支付接口

調(diào)用該接口時指定支付參數(shù)，完成買家賬戶向商戶賬戶的支付，采用頁面跳轉(zhuǎn)交互模式和后臺通知交互模式。（結(jié)果分為兩路返回：一路為前臺在 return_url 頁面跳轉(zhuǎn)顯示支付結(jié)果；一路為后臺在notify_url 收到支付結(jié)果通知后進(jìn)行響應(yīng)。）

• 退款接口

調(diào)用第三方支付的支付請求接口返回付款成功后，在需要做退款處理時調(diào)用退款請求接口發(fā)起退款處理。（退款接口的最終處理結(jié)果分為退款成功和退款失敗，若未收到明確結(jié)果可調(diào)用退款查詢接口查詢結(jié)果。）

• 單筆訂單查詢接口

• 根據(jù)訂單號查詢單筆訂單信息和狀態(tài)。退款訂單查詢接口：調(diào)用第三方支付的退款接口返回后，在需要查詢退款請求狀態(tài)可調(diào)用退款訂單查詢接口查詢退款訂單的狀態(tài)和訂單信息。

• 測試過程中需要注意的主要測試點及異常場景：

• 首先要保證接口都能正常調(diào)用；

• 生成一筆訂單，支付完成后，同步或異步重復(fù)回調(diào)，只有一次有效；

• 生成一筆訂單，復(fù)制訂單號和金額，再次生成一筆訂單，用 fiddler 設(shè)置斷點，用第一筆已完成的訂單號和訂單金額去替換現(xiàn)有的訂單號和金額，無法完成支付；

• 生成一筆訂單，跳轉(zhuǎn)到第三方時修改金額，無法到賬，或者如果是游戲充值游戲幣的話，到賬為篡改后的金額對應(yīng)的游戲幣；

• 異步通知屏蔽，同步有效，進(jìn)行支付，同步能夠正常到賬；

• 同步設(shè)置無效，異步有效，進(jìn)行支付，異步能夠正常到賬；

• 同步異步都設(shè)置無效，在第三方支付完成后，在重發(fā)機制時間范圍內(nèi)，設(shè)置異步有效，到下次通知時間點時，能夠正常通知到賬（補單機制的驗證，如果商戶收到第三方支付成功的通知后，要告知第三方支付收到了成功的通知，如果第三方支付收到商戶應(yīng)答不是 ok 或超時，第三方支付就會認(rèn)為通知失敗，會在規(guī)定的時間內(nèi)持續(xù)調(diào)用 notify_url，一般有時間或次數(shù)的限制）；

• 針對支付訂單在數(shù)據(jù)庫中存儲是否完整和正確進(jìn)行校驗（比如：第三方訂單號--方便與第三方對賬和問題排查、訂單金額、訂單狀態(tài)等）；

• 如果是用戶購買實物商品，用戶發(fā)起退貨，要保證退貨流程正常，資金能正常返還，要考慮下并發(fā)情況的驗證以確保安全性；

• 如果是用戶購買虛擬商品，比如話費、油卡之類的商品，只有在發(fā)貨失敗的時候才能發(fā)起退貨，注意驗證：

總結(jié)：

由于文檔的數(shù)目有點多，我就不在這里一一展示給大家，我把所有的面試真題，和核心知識點都整理到一個文檔里面了，資料還有關(guān)于測試?yán)碚?，Linux 基礎(chǔ)，MySQL基礎(chǔ)，Web 測試，接口測試，App 測試，性能測試等等。300頁的PDF，包含內(nèi)容很是齊全，每個知識點的解析也分析得透徹。需要資料的朋友可以加微信：17377780894獲取資料。