session与cookie的区别
http://blog.csdn.net/fangaoxin/article/details/6952954...
http://blog.csdn.net/fangaoxin/article/details/6952954
展开
3个回答
展开全部
session是存储在服务器端的,cookie是存储在客户端的,所以session的安全性要高于cookie。
再者,我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
因为session是存放在服务器里的,所以session里的东西不断增加会增加服务器的负担,我们会把一些重要的东西放在session里,不太重要的放在客户端cookie里。
cookie分为两大类,一个是会话cookie和持久化cookie,他们的生命周期和浏览器是一致的,浏览器关了会话cooki也就消失了,而持久化会存储在客户端硬盘中。
再者,我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
因为session是存放在服务器里的,所以session里的东西不断增加会增加服务器的负担,我们会把一些重要的东西放在session里,不太重要的放在客户端cookie里。
cookie分为两大类,一个是会话cookie和持久化cookie,他们的生命周期和浏览器是一致的,浏览器关了会话cooki也就消失了,而持久化会存储在客户端硬盘中。
-
官方服务
- 官方网站
- 官方网站
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
我不喜抄,直接说区别吧!
cookie用于交互时存放在客户端,即使用你临时文件夹中不存在cookie,但在你的浏览器进程中会临时保存你的cookie!session是交互时存放在服务端,即使用不保存,也在服务进程中。
如果你对网页有交互,服务器如何在众多请求中能识别你那是曾经的哪一个?这依赖于你传递上来的cookie,即合没有任何其他的的交互,在你浏览器进程中也必须保存诸如sessionID之类的cookie!但这个是临时的,只是为了识别你到底是谁而已。知道了你是谁,服务器还需要知道该怎么做,那么在服务器进程中必须存在一个sessionID,这个与你请求的相对应,然后根据这个才知道你是谁,该怎么做。
sessionID是你初次请求时由系统生成,随网页流保存在你的浏览器进程中,以便你在使用postback等回传功能时能识别你!要不然,你回传了,另外一个请求却得到你的回传反应,这有点说不过去吧?
sessionid相当于浏览器与服务进程进行了一个简单的约定,可以理解为初次服务器发给你的一个通行号码,以后你与服务器的任何交互都依赖于这个号码!
而其他的需要长期保存的一些信息也在cookie中,如用户名与密码等等,与这个通信的结果是相同的。也就是说cookie与session同时存在,分别在客户端与服务器!
如果你通过网络嗅探或是其他方式,得到了某一个浏览器正在交互的sessionid以及一些进程中保存的session信息,这个信息在客户端称cookie,这服务器称session。那么你可以利用这些信息进行攻击。
如,在某台电脑中保存有某用户的user与password通行信息时,你可以将自己的cookie违装成目标的cookie,然后可以进行登陆,这种攻击方式叫cookie攻击!
如果他的这些信息保存在了浏览器进程中,也可以伪造,这种其实也是cookie攻击,但由于其不确定性(你还必须拿到sessionid),这种称为session攻击。其实说白了,这种方式在服务器中直接使用的session[“user"]之类的方式取得的,所以伪造时连同sessionid一块伪造,所以才被称为session攻击的。
由于多标签浏览器的存在,还可以进行网页交叉攻击!
cookie用于交互时存放在客户端,即使用你临时文件夹中不存在cookie,但在你的浏览器进程中会临时保存你的cookie!session是交互时存放在服务端,即使用不保存,也在服务进程中。
如果你对网页有交互,服务器如何在众多请求中能识别你那是曾经的哪一个?这依赖于你传递上来的cookie,即合没有任何其他的的交互,在你浏览器进程中也必须保存诸如sessionID之类的cookie!但这个是临时的,只是为了识别你到底是谁而已。知道了你是谁,服务器还需要知道该怎么做,那么在服务器进程中必须存在一个sessionID,这个与你请求的相对应,然后根据这个才知道你是谁,该怎么做。
sessionID是你初次请求时由系统生成,随网页流保存在你的浏览器进程中,以便你在使用postback等回传功能时能识别你!要不然,你回传了,另外一个请求却得到你的回传反应,这有点说不过去吧?
sessionid相当于浏览器与服务进程进行了一个简单的约定,可以理解为初次服务器发给你的一个通行号码,以后你与服务器的任何交互都依赖于这个号码!
而其他的需要长期保存的一些信息也在cookie中,如用户名与密码等等,与这个通信的结果是相同的。也就是说cookie与session同时存在,分别在客户端与服务器!
如果你通过网络嗅探或是其他方式,得到了某一个浏览器正在交互的sessionid以及一些进程中保存的session信息,这个信息在客户端称cookie,这服务器称session。那么你可以利用这些信息进行攻击。
如,在某台电脑中保存有某用户的user与password通行信息时,你可以将自己的cookie违装成目标的cookie,然后可以进行登陆,这种攻击方式叫cookie攻击!
如果他的这些信息保存在了浏览器进程中,也可以伪造,这种其实也是cookie攻击,但由于其不确定性(你还必须拿到sessionid),这种称为session攻击。其实说白了,这种方式在服务器中直接使用的session[“user"]之类的方式取得的,所以伪造时连同sessionid一块伪造,所以才被称为session攻击的。
由于多标签浏览器的存在,还可以进行网页交叉攻击!
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
