1、cookie數(shù)據(jù)存放在客戶的瀏覽器上,session數(shù)據(jù)放在服務(wù)器上。
2颠通、cookie不是很安全址晕,別人可以分析存放在本地的COOKIE并進行COOKIE欺騙
考慮到安全應(yīng)當使用session。
3顿锰、session會在一定時間內(nèi)保存在服務(wù)器上谨垃。當訪問增多,會比較占用你服務(wù)器的性能
考慮到減輕服務(wù)器性能方面硼控,應(yīng)當使用COOKIE刘陶。
4、單個cookie保存的數(shù)據(jù)不能超過4K牢撼,很多瀏覽器都限制一個站點最多保存20個cookie匙隔。
5、所以個人建議:
將登陸信息等重要信息存放為SESSION
其他信息如果需要保留熏版,可以放在COOKIE中
當你在瀏覽網(wǎng)站的時候纷责,WEB 服務(wù)器會先送一小小資料放在你的計算機上,Cookie 會幫你在網(wǎng)站上所打的文字或是一些選擇撼短,
都紀錄下來再膳。當下次你再光臨同一個網(wǎng)站,WEB 服務(wù)器會先看看有沒有它上次留下的 Cookie 資料曲横,有的話喂柒,就會依據(jù) Cookie
里的內(nèi)容來判斷使用者,送出特定的網(wǎng)頁內(nèi)容給你禾嫉。 Cookie 的使用很普遍灾杰,許多有提供個人化服務(wù)的網(wǎng)站,都是利用 Cookie
來辨認使用者熙参,以方便送出使用者量身定做的內(nèi)容吭露,像是 Web 接口的免費 email 網(wǎng)站,都要用到 Cookie尊惰。
具體來說cookie機制采用的是在客戶端保持狀態(tài)的方案讲竿,而session機制采用的是在服務(wù)器端保持狀態(tài)的方案泥兰。
同時我們也看到,由于采用服務(wù)器端保持狀態(tài)的方案在客戶端也需要保存一個標識题禀,所以session機制可能需要借助于cookie機制
來達到保存標識的目的鞋诗,但實際上它還有其他選擇。
cookie機制迈嘹。正統(tǒng)的cookie分發(fā)是通過擴展HTTP協(xié)議來實現(xiàn)的削彬,服務(wù)器通過在HTTP的響應(yīng)頭中加上一行特殊的指示以提示
瀏覽器按照指示生成相應(yīng)的cookie。然而純粹的客戶端腳本如JavaScript或者VBScript也可以生成cookie秀仲。而cookie的使用
是由瀏覽器按照一定的原則在后臺自動發(fā)送給服務(wù)器的融痛。瀏覽器檢查所有存儲的cookie,如果某個cookie所聲明的作用范圍
大于等于將要請求的資源所在的位置神僵,則把該cookie附在請求資源的HTTP請求頭上發(fā)送給服務(wù)器雁刷。
cookie的內(nèi)容主要包括:名字,值保礼,過期時間沛励,路徑和域。路徑與域一起構(gòu)成cookie的作用范圍炮障。若不設(shè)置過期時間目派,則表示這
個cookie的生命期為瀏覽器會話期間,關(guān)閉瀏覽器窗口胁赢,cookie就消失企蹭。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。
會話cookie一般不存儲在硬盤上而是保存在內(nèi)存里智末,當然這種行為并不是規(guī)范規(guī)定的练对。若設(shè)置了過期時間,瀏覽器就會把cookie
保存到硬盤上吹害,關(guān)閉后再次打開瀏覽器螟凭,這些cookie仍然有效直到超過設(shè)定的過期時間。存儲在硬盤上的cookie可以在不同的瀏
覽器進程間共享它呀,比如兩個IE窗口螺男。而對于保存在內(nèi)存里的cookie,不同的瀏覽器有不同的處理方式
session機制纵穿。session機制是一種服務(wù)器端的機制下隧,服務(wù)器使用一種類似于散列表的結(jié)構(gòu)(也可能就是使用散列表)來保存信息。
當程序需要為某個客戶端的請求創(chuàng)建一個session時谓媒,服務(wù)器首先檢查這個客戶端的請求里是否已包含了一個session標識
(稱為session id)淆院,如果已包含則說明以前已經(jīng)為此客戶端創(chuàng)建過session,服務(wù)器就按照session id把這個session檢索出來
使用(檢索不到句惯,會新建一個)土辩,如果客戶端請求不包含session id支救,則為此客戶端創(chuàng)建一個session并且生成一個與此session相
關(guān)聯(lián)的session id,session id的值應(yīng)該是一個既不會重復拷淘,又不容易被找到規(guī)律以仿造的字符串各墨,這個session id將被在本次響應(yīng)
中返回給客戶端保存。保存這個session id的方式可以采用cookie启涯,這樣在交互過程中瀏覽器可以自動的按照規(guī)則把這個標識發(fā)送給
服務(wù)器贬堵。一般這個cookie的名字都是類似于SEEESIONID。但cookie可以被人為的禁止结洼,則必須有其他機制以便在cookie被禁止時
仍然能夠把session id傳遞回服務(wù)器黎做。
經(jīng)常被使用的一種技術(shù)叫做URL重寫,就是把session id直接附加在URL路徑的后面松忍。還有一種技術(shù)叫做表單隱藏字段蒸殿。就是服務(wù)器
會自動修改表單,添加一個隱藏字段挽铁,以便在表單提交時能夠把session id傳遞回服務(wù)器。比如:
<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>
