[TOC] # Cookie ## 概念 服務器在本地機器上存儲的小段文本并隨每一個請求發送至同一個服務器。 ## 用途 在保留無狀態協議這個特征的同時又要解決類似記錄狀態的矛盾問題。 ## 實現 * 服務器端發送的響應報文內的一個叫做Set-Cookie的首部字段信息，通知客戶端保存Cookie * 瀏覽器通過 document.cookie 設置和獲取 ## 首部 ### Set-Cookie 響應首部字段。開始管理狀態所使用的Cookie信息。 ### Cookie 請求首部字段。服務器接收到的Cookie信息。 ## 屬性 ### name 必須。 該Cookie的名稱。Cookie一旦創建，名稱便不可更改。 ### value 該Cookie失效的時間，單位秒。默認為–1。 * 如果為正數，則該Cookie在>maxAge秒之后失效 * 如果為負數，該Cookie為臨時Cookie，關閉瀏覽器即失效，瀏覽器也不會以任何形式保存該Cookie * 如果為0，表示刪除該Cookie。 ### secure 默認為false 是否僅被使用安全協議傳輸。安全協議。 ### expires 指定瀏覽器可發送 Cookie 的有效期。當省略expires 屬性時，Cookie 僅在瀏覽器關閉之前有效 ### path 限制指定 Cookie 的發送范圍的文件目錄 ### domain 可以訪問該Cookie的域名。第一個字符必須為“.” 如果設置為“.google.com”，則所有以“google.com”結尾的域名都可以訪問該Cookie。 ### HttpOnly 使JavaScript 腳本無法獲得Cookie，默認為false。 要目的為防止跨站腳本攻擊（Cross-sitescripting，XSS）對Cookie 的信息竊取。 # Session ## 概念 一種服務器端的機制，服務器使用一種類似于散列表的結構（也可能就是使用散列表）來保存信息。 ## 實現 1. 服務器首先檢查這個客戶端的請求里是否已包含了一個session標識（稱為session id） 2. 如果已包含則說明以前已經為此客戶端創建過session，服務器就按照session id把這個session檢索出來使用（檢索不到，會新建一個） 3. 如果客戶端請求不包含session id，則為此客戶端創建一個session并且生成一個與此session相關聯的session id 4. session id的值應該是一個既不會重復，又不容易被找到規律以仿造的字符串，這個session id將被在本次響應中返回給客戶端保存 ## Cookie被禁用的解決方案 * URL重寫 * 表單隱藏字段 # Cookie 與 Session 的區別 ## 存取方式的不同 Cookie中只能保管ASCII字符串，假如需求存取Unicode字符或者二進制數據，需求先進行編碼 而Session中能夠存取任何類型的數據 ## 隱私策略的不同 Cookie存儲在客戶端閱讀器中，對客戶端是可見的，客戶端的一些程序可能會窺探、復制以至修正Cookie中的內容 Session存儲在服務器上，對客戶端是透明的，不存在敏感信息泄露的風險 ## 有效期上的不同 ## 服務器壓力的不同 ## 瀏覽器支持的不同 Cookie是需要客戶端瀏覽器支持的。假如客戶端禁用了Cookie，或者不支持Cookie，則會話跟蹤會失效。 關于WAP上的應用，常規的Cookie就派不上用場了。 Session不依賴客戶端 ## 跨域支持上的不同 Cookie支持子域名訪問主域名Cookie Session僅在他所在的域名內有效