cookie跟session的区别是什么?

 我来答
IT168
2022-11-07 · 百度认证:IT168官方账号,优质数码领域创作者
IT168
IT168是中国最大的个人和企业IT产品选购、互动网站,每日提供最新的IT产品报价、促销行情、手机、平板、笔记本、相机和企业等50个频道提供最专业的产品选购和使用建议。
向TA提问
展开全部
session是存储在服务器端的,cookie是存储在客户端的,所以session的安全性要高于cookie。
再者,我们获取的session里的信息是通过存放在会话cookie里的sessionId获取的。
因为session是存放在服务器里的,所以session里的东西不断增加会增加服务器的负担,我们会把一些重要的东西放在session里,不太重要的放在客户端cookie里。
cookie分为两大类,一个是会话cookie和持久化cookie,他们的生命周期和浏览器是一致的,浏览器关了会话cooki也就消失了,而持久化会存储在客户端硬盘中。
匿名用户
2015-06-26
展开全部
cookie用于交互时存放在客户端,即使用你临时文件夹中不存在cookie,但在你的浏览器进程中会临时保存你的cookie,session是交互时存放在服务端,即使用不保存,也在服务进程中。

如果你对网页有交互,服务器如何在众多请求中能识别你那是曾经的哪一个?这依赖于你传递上来的cookie,即合没有任何其他的的交互,在你浏览器进程中也必须保存诸如sessionID之类的cookie,但这个是临时的,只是为了识别你到底是谁而已。知道了你是谁,服务器还需要知道该怎么做,那么在服务器进程中必须存在一个sessionID,这个与你请求的相对应,然后根据这个才知道你是谁,该怎么做。

sessionID是你初次请求时由系统生成,随网页流保存在你的浏览器进程中,以便你在使用postback等回传功能时能识别你,要不然,你回传了,另外一个请求却得到你的回传反应,这有点说不过去吧?

sessionid相当于浏览器与服务进程进行了一个简单的约定,可以理解为初次服务器发给你的一个通行号码,以后你与服务器的任何交互都依赖于这个号码,

而其他的需要长期保存的一些信息也在cookie中,如用户名与密码等等,与这个通信的结果是相同的。也就是说cookie与session同时存在,分别在客户端与服务器,

如果你通过网络嗅探或是其他方式,得到了某一个浏览器正在交互的sessionid以及一些进程中保存的session信息,这个信息在客户端称cookie,这服务器称session。那么你可以利用这些信息进行攻击。

如,在某台电脑中保存有某用户的user与password通行信息时,你可以将自己的cookie违装成目标的cookie,然后可以进行登陆,这种攻击方式叫cookie攻击,

如果他的这些信息保存在了浏览器进程中,也可以伪造,这种其实也是cookie攻击,但由于其不确定性(你还必须拿到sessionid),这种称为session攻击。其实说白了,这种方式在服务器中直接使用的session[“user"]之类的方式取得的,所以伪造时连同sessionid一块伪造,所以才被称为session攻击的。
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
背心_心背
2014-12-08 · TA获得超过449个赞
知道小有建树答主
回答量:644
采纳率:100%
帮助的人:503万
展开全部
cookie用于交互时存放在客户端,即使用你临时文件夹中不存在cookie,但在你的浏览器进程中会临时保存你的cookie!session是交互时存放在服务端,即使用不保存,也在服务进程中。

如果你对网页有交互,服务器如何在众多请求中能识别你那是曾经的哪一个?这依赖于你传递上来的cookie,即合没有任何其他的的交互,在你浏览器进程中也必须保存诸如sessionID之类的cookie!但这个是临时的,只是为了识别你到底是谁而已。知道了你是谁,服务器还需要知道该怎么做,那么在服务器进程中必须存在一个sessionID,这个与你请求的相对应,然后根据这个才知道你是谁,该怎么做。

sessionID是你初次请求时由系统生成,随网页流保存在你的浏览器进程中,以便你在使用postback等回传功能时能识别你!要不然,你回传了,另外一个请求却得到你的回传反应,这有点说不过去吧?

sessionid相当于浏览器与服务进程进行了一个简单的约定,可以理解为初次服务器发给你的一个通行号码,以后你与服务器的任何交互都依赖于这个号码!

而其他的需要长期保存的一些信息也在cookie中,如用户名与密码等等,与这个通信的结果是相同的。也就是说cookie与session同时存在,分别在客户端与服务器!

如果你通过网络嗅探或是其他方式,得到了某一个浏览器正在交互的sessionid以及一些进程中保存的session信息,这个信息在客户端称cookie,这服务器称session。那么你可以利用这些信息进行攻击。

如,在某台电脑中保存有某用户的user与password通行信息时,你可以将自己的cookie违装成目标的cookie,然后可以进行登陆,这种攻击方式叫cookie攻击!

如果他的这些信息保存在了浏览器进程中,也可以伪造,这种其实也是cookie攻击,但由于其不确定性(你还必须拿到sessionid),这种称为session攻击。其实说白了,这种方式在服务器中直接使用的session[“user"]之类的方式取得的,所以伪造时连同sessionid一块伪造,所以才被称为session攻击的。
希望能帮到楼主 给个采纳吧楼主,或者有不懂的你可以追问我
本回答被提问者采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
就烦条0o
2018-07-30 · 知道合伙人软件行家
就烦条0o
知道合伙人软件行家
采纳数:33315 获赞数:46487
从事多年系统运维,喜欢编写各种小程序和脚本。

向TA提问 私信TA
展开全部
1、cookie数据存放在客户的浏览器上,session数据放在服务器上。

2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
考虑到安全应当使用session。

3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能
考虑到减轻服务器性能方面,应当使用COOKIE。

4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。

用途:
将登陆信息等重要信息存放为SESSION
其他信息如果需要保留,可以放在COOKIE中
本回答被网友采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
carolyn6363633
2014-12-08
知道答主
回答量:10
采纳率:0%
帮助的人:7037
展开全部
cookie数据存放在客户机的浏览器上,session数据存在服务器上。cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗。Session会在一定时间内保存在服务器上。当访问增多,会比较占用服务器的性能。故将登陆信息等重要信息存放为session,其他信息如需保留,可以放在cookie中
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式