cookie和session的區別

一、cookie機制和session機制的區別

具體來說cookie機制採用的是在客戶端保持狀態的方案，而session機制採用的是在伺服器端保持狀態的方案。

同時我們也看到，由於在伺服器端保持狀態的方案在客戶端也需要儲存乙個標識，所以session機制可能需要借助於cookie機制來達到儲存標識的目的，但實際上還有其他選擇。

二、會話cookie和持久cookie的區別

如果不設定過期時間，則表示這個cookie生命週期為瀏覽器會話期間，只要關閉瀏覽器視窗，cookie就消失了。這種生命期為瀏覽會話期的cookie被稱為會話cookie。會話cookie一般不儲存在硬碟上而是儲存在記憶體裡。

如果設定了過期時間，瀏覽器就會把cookie儲存到硬碟上，關閉後再次開啟瀏覽器，這些cookie依然有效直到超過設定的過期時間。

儲存在硬碟上的cookie可以在不同的瀏覽器程序間共享，比如兩個ie視窗。而對於儲存在記憶體的cookie，不同的瀏覽器有不同的處理方式。

三、如何利用實現自動登入

當使用者在某個**註冊後，就會收到乙個惟一使用者id的cookie。客戶後來重新連線時，這個使用者id會自動返回，伺服器對它進行檢查，確定它是否為註冊使用者且選擇了自動登入，從而使使用者無需給出明確的使用者名稱和密碼，就可以訪問伺服器上的資源。

四、如何根據使用者的愛好定製站點

**可以使用cookie記錄使用者的意願。對於簡單的設定，**可以直接將頁面的設定儲存在cookie中完成定製。然而對於更複雜的定製，**只需僅將乙個惟一的識別符號傳送給使用者，由伺服器端的資料庫儲存每個識別符號對應的頁面設定。

如果你通過網路嗅探或是其他方式，得到了某乙個瀏覽器正在互動的sessionid以及一些

程序中儲存的session資訊，這個資訊在客戶端稱cookie,這伺服器稱session。

你可以利用這些資訊進行攻擊。