我知乎上看到一個很簡介的總結(jié)，覺得寫得非常好，小結(jié)一下：

image.png

image.png

關(guān)于cookie 來自其他網(wǎng)頁的一些整理

image.png

image.png

自己抓包看了一下
當(dāng)我們第一次登錄一個網(wǎng)站的時候，服務(wù)器會通過http協(xié)議里面setcookie的方式，給瀏覽器發(fā)放一個cookie（其實就是一個文件）

image.png

這就是瀏覽器保存的cookie
![Uploading image_435150.png . . .]

瀏覽器拿到cookie之后，之后的http請求就會帶上cookie。給瀏覽器標(biāo)識出自己的身份。

2. 關(guān)于session

cookie機制采用的是在客戶端保持狀態(tài)的方案，而session機制采用的是在服務(wù)器端保持狀態(tài)的方案。

當(dāng)程序需要為某個客戶端的請求創(chuàng)建一個session時，服務(wù)器首先檢查這個客戶端的請求里是否已包含了一個session標(biāo)識（稱為session id），如果已包含則說明以前已經(jīng)為此客戶端創(chuàng)建過session，服務(wù)器就按照session id把這個session檢索出來使用（檢索不到，會新建一個），如果客戶端請求不包含session id，則為此客戶端創(chuàng)建一個session并且生成一個與此session相關(guān)聯(lián)的session id，session id的值應(yīng)該是一個既不會重復(fù)，又不容易被找到規(guī)律以仿造的字符串，這個session id將被在本次響應(yīng)中返回給客戶端保存。

保存這個session id的方式可以采用cookie，這樣在交互過程中瀏覽器可以自動的按照規(guī)則把這個標(biāo)識發(fā)送給服務(wù)器。一般這個cookie的名字都是類似于SEEESIONID。但cookie可以被人為的禁止，則必須有其他機制以便在cookie被禁止時仍然能夠把session id傳遞回服務(wù)器。

cookie 被禁止時的解決方案：
經(jīng)常被使用的一種技術(shù)叫做URL重寫，就是把session id直接附加在URL路徑的后面。還有一種技術(shù)叫做表單隱藏字段。就是服務(wù)器會自動修改表單，添加一個隱藏字段，以便在表單提交時能夠把session id傳遞回服務(wù)器。比如：

<form name="testform" action="/xxx"> 
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 
<input type="text"> 
</form> 

實際上這種技術(shù)可以簡單的用對action應(yīng)用URL重寫來代替。

cookie 和session 的區(qū)別：
1、cookie數(shù)據(jù)存放在客戶的瀏覽器上，session數(shù)據(jù)放在服務(wù)器上。
2、cookie不是很安全，別人可以分析存放在本地的COOKIE并進(jìn)行COOKIE欺騙
考慮到安全應(yīng)當(dāng)使用session。
3、session會在一定時間內(nèi)保存在服務(wù)器上。當(dāng)訪問增多，會比較占用你服務(wù)器的性能
考慮到減輕服務(wù)器性能方面，應(yīng)當(dāng)使用COOKIE。
4、單個cookie保存的數(shù)據(jù)不能超過4K，很多瀏覽器都限制一個站點最多保存20個cookie。