Câu 1: Trong kiến trúc web ba lớp, tầng nào chịu trách nhiệm chính trong việc xác thực người dùng và kiểm soát quyền truy cập?

• A. Tầng trình bày (Presentation Layer)
• B. Tầng ứng dụng (Application Layer/Business Logic Layer)
• C. Tầng dữ liệu (Data Layer)
• D. Tầng mạng (Network Layer)

Câu 2: Điều gì xảy ra khi ServletContext được khởi tạo trong một ứng dụng web Java?

• A. Nó được tạo ra một lần duy nhất khi ứng dụng web được triển khai trên server.
• B. Nó được tạo ra mỗi khi một servlet được khởi tạo.
• C. Nó được tạo ra cho mỗi yêu cầu HTTP đến server.
• D. Nó chỉ được tạo ra khi một session người dùng được thiết lập.

Câu 3: Xét đoạn mã JSP sau: `<%= request.getParameter(

• A. Trang JSP sẽ báo lỗi biên dịch.
• B. Trang JSP sẽ hiển thị một hộp thoại cảnh báo.
• C. Trang JSP sẽ hiển thị giá trị null hoặc chuỗi rỗng.
• D. Trang JSP sẽ tự động chuyển hướng đến trang lỗi mặc định.

Câu 4: Phương thức `sendRedirect()` của đối tượng `HttpServletResponse` được sử dụng để làm gì?

• A. Để gửi dữ liệu phản hồi về cho client dưới định dạng XML.
• B. Để yêu cầu trình duyệt client gửi một yêu cầu mới đến một URL khác.
• C. Để chuyển tiếp yêu cầu hiện tại đến một servlet hoặc JSP khác trên server.
• D. Để thiết lập cookie trên trình duyệt client.

Câu 5: Sự khác biệt chính giữa `RequestDispatcher.forward()` và `HttpServletResponse.sendRedirect()` là gì trong servlet?

• A. `forward()` thực hiện chuyển tiếp ở phía server, trong khi `sendRedirect()` yêu cầu trình duyệt client gửi yêu cầu mới.
• B. `sendRedirect()` nhanh hơn `forward()` vì không cần server xử lý trung gian.
• C. `forward()` chỉ có thể chuyển tiếp đến JSP, còn `sendRedirect()` có thể chuyển hướng đến bất kỳ URL nào.
• D. `forward()` tạo ra một yêu cầu HTTP mới, còn `sendRedirect()` giữ nguyên yêu cầu ban đầu.

Câu 6: Trong ngữ cảnh quản lý phiên (session) trong ứng dụng web Java, cookie và URL rewriting được sử dụng như thế nào?

• A. Cookie được dùng để lưu trữ dữ liệu phiên trên server, còn URL rewriting để mã hóa dữ liệu phiên trong URL.
• B. Cookie và URL rewriting là hai phương pháp hoàn toàn độc lập và không liên quan đến quản lý phiên.
• C. URL rewriting là phương pháp an toàn hơn cookie vì dữ liệu phiên không được lưu trữ trên client.
• D. Cookie thường được dùng để lưu ID phiên trên client, còn URL rewriting là phương pháp thay thế khi cookie bị vô hiệu hóa.

Câu 7: JDBC (Java Database Connectivity) API cho phép ứng dụng Java tương tác với cơ sở dữ liệu. Phát biểu nào sau đây mô tả đúng nhất vai trò của DriverManager trong JDBC?

• A. DriverManager chịu trách nhiệm thực thi các câu lệnh SQL.
• B. DriverManager là interface để biểu diễn một kết nối vật lý đến cơ sở dữ liệu.
• C. DriverManager quản lý danh sách các driver JDBC và thiết lập kết nối đến cơ sở dữ liệu phù hợp.
• D. DriverManager chuyển đổi dữ liệu giữa định dạng Java và định dạng cơ sở dữ liệu.

Câu 8: Xem xét đoạn code JSP sau: `<%@ include file=

• A. Trình duyệt sẽ tải riêng biệt "header.jsp", trang hiện tại và "footer.jsp" rồi hiển thị chúng cùng nhau.
• B. Nội dung của "header.jsp" và "footer.jsp" sẽ được chèn vào trang JSP hiện tại trước khi trang được biên dịch và gửi đến client.
• C. Chỉ có nội dung của trang JSP hiện tại được biên dịch và gửi đến client, "header.jsp" và "footer.jsp" bị bỏ qua.
• D. Trang JSP sẽ báo lỗi vì không thể include nhiều file cùng lúc.

Câu 9: Trong mô hình MVC (Model-View-Controller) áp dụng cho phát triển web Java, thành phần View chịu trách nhiệm chính trong việc gì?

• A. Hiển thị dữ liệu cho người dùng và tương tác với người dùng.
• B. Xử lý logic nghiệp vụ và tương tác với cơ sở dữ liệu.
• C. Quản lý dữ liệu và trạng thái của ứng dụng.
• D. Điều phối luồng xử lý giữa Model và Controller.

Câu 10: Annotation `@WebServlet(

• A. Khai báo servlet này là một thành phần có thể tái sử dụng trong ứng dụng.
• B. Ánh xạ servlet này tới URL pattern "/product", nghĩa là servlet sẽ xử lý các yêu cầu đến "/product".
• C. Xác định servlet này là điểm bắt đầu (entry point) của ứng dụng web.
• D. Chỉ định servlet này chỉ được truy cập bởi người dùng đã xác thực.

Câu 11: Giả sử bạn có một ứng dụng web Java cần xử lý đồng thời nhiều yêu cầu từ người dùng. Loại mô hình luồng (threading model) nào thường được các web server Java (như Tomcat) sử dụng để đạt hiệu suất tốt nhất?

• A. Mô hình đơn luồng (Single-threaded model)
• B. Mô hình tiến trình đơn (Single-process model)
• C. Mô hình đa luồng (Multi-threaded model)
• D. Mô hình hướng sự kiện (Event-driven model)

Câu 12: Trong JSP, đối tượng `implicit` nào cho phép bạn truy cập thông tin về servlet engine và môi trường JSP đang chạy?

• A. session
• B. application
• C. config
• D. pageContext

Câu 13: Để thực hiện xác thực người dùng (user authentication) trong một ứng dụng web Java, phương pháp nào sau đây được coi là an toàn và phổ biến nhất để lưu trữ mật khẩu?

• A. Lưu trữ mật khẩu dưới dạng văn bản thuần túy (plain text) trong cơ sở dữ liệu.
• B. Mã hóa mật khẩu bằng các thuật toán mã hóa đối xứng (symmetric encryption).
• C. Sử dụng các thuật toán mã hóa bất đối xứng (asymmetric encryption) để mã hóa mật khẩu.
• D. Sử dụng các hàm băm mật khẩu (password hashing algorithms) như bcrypt hoặc Argon2.

Câu 14: Xem xét đoạn mã JSP sau: `

Câu 15: Chỉ thị `<%@ page import=

• A. Khai báo trang JSP này sử dụng chuẩn mã hóa UTF-8.
• B. Cho phép sử dụng các lớp từ package `java.util` mà không cần fully qualified name trong trang JSP.
• C. Thực hiện import dữ liệu từ một trang JSP khác.
• D. Định nghĩa các biến toàn cục có thể sử dụng trong toàn bộ ứng dụng web.

Câu 16: Để ngăn chặn tấn công CSRF (Cross-Site Request Forgery) trong ứng dụng web Java, biện pháp phòng ngừa nào sau đây là hiệu quả nhất?

• A. Sử dụng token đồng bộ hóa (synchronizer token) được tạo ngẫu nhiên và kiểm tra trên mỗi yêu cầu.
• B. Chỉ sử dụng phương thức GET cho tất cả các yêu cầu để tránh thay đổi trạng thái server.
• C. Vô hiệu hóa cookie và sử dụng URL rewriting cho quản lý phiên.
• D. Giới hạn thời gian phiên người dùng xuống mức tối thiểu.

Câu 17: Trong ngữ cảnh Servlet API, interface `Filter` được sử dụng để làm gì?

• A. Để định nghĩa các trang JSP có thể tái sử dụng.
• B. Để tạo ra các servlet có thể xử lý nhiều loại yêu cầu khác nhau.
• C. Để can thiệp vào quá trình xử lý yêu cầu và phản hồi của servlet, thực hiện các tác vụ tiền/hậu xử lý.
• D. Để quản lý vòng đời của servlet.

Câu 18: Phương thức `HttpSession.invalidate()` có tác dụng gì?

• A. Khởi tạo lại phiên người dùng hiện tại.
• B. Hủy phiên người dùng hiện tại, xóa tất cả dữ liệu phiên liên quan.
• C. Làm mới thời gian hết hạn của phiên người dùng.
• D. Chuyển phiên người dùng sang trạng thái "inactive" nhưng vẫn giữ lại dữ liệu.

Câu 19: Trong một ứng dụng web Java sử dụng JSP và Servlet, bạn muốn chia sẻ dữ liệu giữa các servlet và JSP khác nhau trong cùng một ứng dụng. Scope nào sau đây là phù hợp nhất để lưu trữ dữ liệu này?

• A. page scope
• B. request scope
• C. session scope
• D. application scope

Câu 20: Khi một ngoại lệ (exception) không được xử lý xảy ra trong một servlet, container web (ví dụ: Tomcat) thường làm gì?

• A. Tự động khởi động lại servlet để tiếp tục xử lý yêu cầu.
• B. Bỏ qua ngoại lệ và tiếp tục thực thi các servlet khác.
• C. Trả về mã lỗi HTTP 500 (Internal Server Error) cho client và ghi log ngoại lệ.
• D. Chuyển hướng yêu cầu đến một servlet xử lý lỗi toàn cục được cấu hình trước.

Câu 21: Phương thức HTTP nào thường được sử dụng để gửi dữ liệu từ client lên server khi người dùng gửi một form đăng ký hoặc đăng nhập?

• A. GET
• B. POST
• C. PUT
• D. DELETE

Câu 22: Trong một trang JSP, bạn muốn khai báo một biến instance (biến thành viên) cho trang JSP. Cú pháp nào sau đây là đúng?

• A. <%! int count = 0; %>
• B. <% int count = 0; %>
• C. <%= int count = 0; %>
• D. <%@ variable name=

Câu 23: Để cấu hình một trang JSP làm trang xử lý lỗi (error page) cho một trang JSP khác, bạn sử dụng chỉ thị nào?

• A. <%@ page forwardURL=
• B. <%@ page redirectURL=
• C. <%@ page errorPage=
• D. <%@ page exceptionHandler=

Câu 24: Giả sử bạn có một ứng dụng web Java cần lưu trữ thông tin cấu hình (ví dụ: thông tin kết nối cơ sở dữ liệu) mà tất cả các servlet và JSP trong ứng dụng đều có thể truy cập. Bạn nên lưu trữ thông tin này ở đâu?

• A. Trong biến cục bộ của từng servlet.
• B. Trong ServletContext (attributes của ServletContext).
• C. Trong session của người dùng.
• D. Trong cookie của trình duyệt.

Câu 25: Để truy cập vào ServletContext trong một servlet, bạn sử dụng phương thức nào của lớp `GenericServlet` hoặc `HttpServlet`?

• A. getRequestDispatcher()
• B. getServletConfig()
• C. getServletInfo()
• D. getServletContext()

Câu 26: Trong JSP, biểu thức `${param.productId}` được sử dụng để làm gì?

• A. Để khai báo một tham số có tên "productId" trong trang JSP.
• B. Để thiết lập giá trị của một thuộc tính có tên "productId" trong session.
• C. Để truy xuất giá trị của tham số request có tên "productId".
• D. Để hiển thị thông tin cấu hình của ứng dụng liên quan đến product ID.

Câu 27: Giả sử bạn muốn xây dựng một trang web Java động hiển thị danh sách sản phẩm từ cơ sở dữ liệu. Bạn nên sử dụng công nghệ nào phía server để thực hiện việc này một cách hiệu quả?

• A. JSP và Servlet
• B. HTML tĩnh
• C. JavaScript phía client
• D. CSS

Câu 28: Để định nghĩa một custom tag library trong JSP, bạn cần thực hiện bước nào sau đây?

• A. Viết mã JavaScript để định nghĩa tag.
• B. Sử dụng XML để khai báo tag trong web.xml.
• C. Tạo một file .tag để định nghĩa mỗi custom tag.
• D. Tạo một Tag Library Descriptor (TLD) file để mô tả các custom tag và lớp Java xử lý chúng.

Câu 29: Khi một yêu cầu HTTP GET được gửi đến server, dữ liệu thường được truyền đi như thế nào?

• A. Trong phần body của yêu cầu HTTP.
• B. Trong URL, dưới dạng query parameters.
• C. Trong header của yêu cầu HTTP.
• D. Sử dụng cookie để truyền dữ liệu.

Câu 30: Trong ngữ cảnh bảo mật ứng dụng web Java, XSS (Cross-Site Scripting) là loại tấn công nào?

• A. Tấn công từ chối dịch vụ (Denial of Service).
• B. Tấn công SQL Injection.
• C. Tấn công bằng cách chèn mã script độc hại vào trang web, thực thi trên trình duyệt của người dùng khác.
• D. Tấn công giả mạo yêu cầu từ người dùng (Cross-Site Request Forgery).