一、cookie和session
cookie和session都是用来跟踪浏览器用户身份的绘画方式。 区别:
- 保持状态:cookie保存在浏览器端,session保存在服务器端
- 使用方式:
-
cookie机制:如果不在浏览器中设置过期时间,cookie被保存在内存中,声明周期随浏览器的关闭而结束,这种cookie简称会话cookie。如果在浏览器中设置了cookie的过期时间,cookie被保存在硬盘中,关闭浏览器后,cookie数据仍然存在,知道过期时间结束才消失。
Cookie是服务器发给客户端的特殊信息,cookie是以文本的方式保存在客户端,每次请求都带上它 -
session机制:当服务器收到请求需要创建session对象时,首先会检查客户端请求是否包含sessionid,如果有,服务器将根据id返回对应session对象;如果没有,服务器会创建新的session对象,并把sessionid在本次响应中返回给客户端。通常使用cookie方式存储sessionid到客户端,在交互中浏览器按照规则将sessionid发送给服务器。如果用户禁用cookie,则要使用URL重写,可以通过response.encodeURL(url)进行实现;API对encodeURL的结束为,当浏览器支持Cookie时,url不做任何处理;当浏览器不支持Cookie的时候,将会重写URL将sessionid拼接到访问地址
-
存储内容:cookie只能保存字符串类型,以文本的方式;session通过类似与Hashtable的数据结构来保存,能支持任何类型的对象(session中可含有多个对象)
-
存储的大小:
- cookie:单个cookie保存的数据不能超过4kb;
- session大小没有限制
-
安全性
cookie:针对cookie所在的攻击:Cookie欺骗,Cookie截获;session的安全性大于Cookie
原因如下:
- sessionID存储在cookie中,若要攻破session首先要攻破cookie
- sessionID是要有人登录,或者启动session_start才会有,所以攻破cookie也不一定能到到sessionid
- 第二次启动session_start后,前一次的sessionid就是失效了,session过期后,sessionid也随之失效
- sessionid是加密的
-
应用场景
cookie:
- 判断用户是否登录过网站,以便下次登录时能够实现自动登录(或者记住密码)。如果删除cookie,则每次登录必须重新填写登录的相关信息
- 保存上次登录的时间等信息
- 保存上次查看的页面
- 浏览计数
session:
- session保存的东西越多,就越占用服务器内存,对于用户在线人数较多的网站,服务器的内存压力会比较大
- 依赖于cookie(sessionid保存在cookie),如果禁用cookie,则要使用url重写,不安全
- 创建session变量有很大的随意性,可随时调用,不需要开发者做精确的处理,所以,过度使用session变量将会导致代码不可读而且不好维护。
-
HTML5的本地存储
- sessionStorage:将数据保存在session对象中,所谓session,是指用户在浏览某个网站时,从进入网站到浏览器关闭所经过的这段时间,也就是用户浏览这个网站所花费的时间。session对象可以用来保存在这段时间内所要求保存的任何数据
- localStorage:将数据保存在客户端本地的硬件设备(通常指硬盘,也可以是其他硬件设备)中,即使浏览器被关闭了,该数据仍然存在,下次打开浏览器访问网站时仍然可以继续使用
-
