Session是保存在服务端的,有一个唯一标识 session.getId() 。在服务端保存Session的方法很多, 内存、数据库、文件都有。集群的时候也要考虑Session的转移,在大型的网站,一般会有专门的
Session服务器集群,用来保存用户会话,这个时候 Session 信息都是放在内存的,使用一些缓存服务比 如Memcached之类的来放 Session。
Cookie作用于每次HTTP请求的时候,客户端都会发送相应的Cookie信息到服务端。
Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据 库、文件中
Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方 式。
1.Cookie运行在客户端,Session运行在服务端,对吗?
不完全正确。Cookie是运行在客户端,有客户端进行管理;Session虽然是运行在服务器端,但是 sessionID作为一个Cookie是存储在客户端的。
2.浏览器禁止Cookie,Cookie就不能用了,但Session不会受浏览器影响,对吗?
错。浏览器禁止Cookie,Cookie确实不能用了,Session会受浏览器端的影响。很简单的实验,在 登录一个网站后,清空浏览器的Cookie和隐私数据,单机后台的连接,就会因为丢失Cookie而退 出。当然,有办法通过URL传递Session。
3.浏览器关闭后,Cookie和Session都消失了,对吗?
错。存储在内存中额Cookie确实会随着浏览器的关闭而消失,但存储在硬盘上的不会。更顽固的 是Flash Cookie,不过现在很多系统优化软件和新版浏览器都已经支持删除Flash Cookie。百度采 用了这样的技术记忆用户:Session在浏览器关闭后也不会消失,除非正常退出,代码中使用了显 示的unset删除Session。否则Session可能被回收,也有可能永远残留在系统中。
4.Session 比 Cookie 更安全吗? 不应该大量使用Cookie吗?
错误。Cookie确实可能存在一些不安全因素,但和JavaScript一样,即使突破前端验证,还有后端 保障安全。一切都还要看设计,尤其是涉及提权的时候,特别需要注意。通常情况下,Cookie和 Session是绑定的,获得Cookie就相当于获得了Session,客户端把劫持的Cookie原封不动地传给 服务器,服务器收到后,原封不动地验证Session,若Session存在,就实现了Cookie和Session的 绑定过程。因此,不存在Session比Cookie更安全这种说法。如果说不安全,也是由于代码不安 全,错误地把用作身份验证的Cookie作为权限验证来使用。
5.Session是创建在服务器上的,应该少用Session而多用Cookie,对吗?
错。Cookie可以提高用户体验,但会加大网络之间的数据传输量,应尽量在Cookie中仅保存必要 的数据。
6.如果把别人机器上的Cookie文件复制到我的电脑上(假设使用相同的浏览器),是不是能够登录别人的 帐号呢?如何防范?
是的。这属于Cookie劫持的一种做法。要避免这种情况,需要在Cookie中针对IP、UA等加上特殊 的校验信息,然后和服务器端进行比对。
7.在IE浏览器下登录某网站,换成Firefox浏览器是否仍然是未登录状态?使用IE登录了腾讯网站后,为什 么使用Firefox能保持登录状态?
不同浏览器使用不同的Cookie管理机制,无法实现公用Cookie。如果使用IE登录腾讯网站,使用 Firefox也能登录,这是由于在安装腾讯QQ软件时,你的电脑上同时安装了针对这两个浏览器的插 件,可以识别本地已登录QQ号码进而自动登录。本质上,不属于共用Cookie的范畴。