Cookies的安全性能一直是倍受爭議的。雖然Cookies是保存在本機上的，但是其信息的完全可見性且易于本地編輯性，往往可以引起很多的安全問題。所以Cookies到底該不該用，到底該怎樣用，就有了一個需要給定的底線。 先來看看，網站的敏感數據有哪些。 登陸驗證信息。一般采用`Session(“Logon”)＝true or false`的形式。 &nbsp;<br/>用戶的各種私人信息，比如姓名等，某種情況下，需要保存在Session里 &nbsp;<br/>需要在頁面間傳遞的內容信息，比如調查工作需要分好幾步。每一步的信息都保存在Session里，最后在統一更新到數據庫。 當然還會有很多，這里列舉一些比較典型的: 假如，一個人孤僻到不想碰Session，因為他認為，如果用戶萬一不小心關閉了瀏覽器，那么之前保存的數據就全部丟失了。所以，他出于好意，決定把這些用Session的地方，都改成用Cookies來存儲，這完全是可行的，且基本操作和用Session一模一樣。那么，下面就針對以上的3個典型例子，做一個分析。 很顯然，只要某個有意非法入侵者，知道該網站驗證登陸信息的Session變量是什么，那么他就可以事先編輯好該Cookies，放入到Cookies目錄中，這樣就可以順利通過驗證了。這是不是很可怕？ Cookies完全是可見的，即使程序員設定了Cookies的生存周期（比如只在用戶會話有效期內有效），它也是不安全的。假設，用戶忘了關瀏覽器 或者一個惡意者硬性把用戶給打暈，那用戶的損失將是巨大的。 &nbsp;<br/>這點如上點一樣，很容易被它人竊取重要的私人信息。但，其還有一個問題所在是，可能這些數據信息量太大，而使得Cookies的文件大小劇增。這可不是用戶希望所看到的。 顯然，Cookies并不是那么一塊好啃的小甜餅。但Cookies的存在當然有其原因。它給予程序員更多發揮編程才能的空間。所以，使用Cookies改有個底線。 ## 底線（原則） 1. 不要保存私人信息。 2. 任何重要數據，最好通過加密形式來保存數據（最簡單的可以用URLEncode，當然也可以用完善的可逆加密方式，遺憾的是，最好不要用md5來加密）。 3. 是否保存登陸信息，需有用戶自行選擇。 4. 長于10K的數據，不要用到Cookies。 5. 也不要用Cookies來玩點讓客戶驚喜的小游戲。 ## cookie最典型的應用 1. 判斷用戶是否登陸過網站，以便下次登錄時能夠直接登錄。如果我們刪除cookie，則每次登錄必須從新填寫登錄的相關信息。 2. 另一個重要的應用是“購物車”中類的處理和設計。用戶可能在一段時間內在同一家網站的不同頁面選擇不同的商品，可以將這些信息都寫入cookie，在最后付款時從cookie中提取這些信息，當然這里面有了安全和性能問題需要我們考慮了。