Cookies 和 Session的区别

1.cookie是一种发送到客户端浏览器的文本串句柄，并保存在客户机硬盘上，能够用来在某个web站点绘画期间持久的保持数据

2.session其实指的就是访问者从到达某一个特定主页到离开为止的那段时间。session实际上是利用cookie技术进行处理的，当用户首次进行请求后，服务端就会建立一个cookie并返回给浏览器，当这个session技术室，其实就意味着这个cookie就过时了。

3.cookie和session的共同之处在于：cookie和session都是用来跟踪浏览器用户身份的会话方式

4.cookie和session的区别是：cookie数据保存在客户端，session数据保存在服务端。

•     若是web服务器端使用的是session，那么全部的数据都保存在服务器上，客户端每次请求服务器的时候会发送当前会话的sessionid，服务器根据当前sessionid判断相应的用户数据标志，以肯定用户是否登陆或具备某种权限。因为数据是存储在服务器上面，因此你不能伪造，可是若是你可以获取某个登陆用户的 sessionid，用特殊的浏览器伪造该用户的请求也是可以成功的。sessionid是服务器和客户端连接时候随机分配的，通常来讲是不会有重复，但若是有大量的并发请求，也不是没有重复的可能性.

 

•   若是浏览器使用的是cookie，那么全部的数据都保存在浏览器端，好比你登陆之后，服务器设置了cookie用户名，那么当你再次请求服务器的时候，浏览器会将用户名一块发送给服务器，这些变量有必定的特殊标记。服务器会解释为cookie变量，因此只要不关闭浏览器，那么cookie变量一直是有效的，因此可以保证长时间不掉线。若是你可以截获某个用户的 cookie变量，而后伪造一个数据包发送过去，那么服务器仍是认为你是合法的。因此，使用 cookie被攻击的可能性比较大。若是设置了的有效时间，那么它会将 cookie保存在客户端的硬盘上，下次再访问该网站的时候，浏览器先检查有没有 cookie，若是有的话，就读取该 cookie，而后发送给服务器。若是你在机器上面保存了某个论坛 cookie，有效期是一年，若是有人入侵你的机器，将你的  cookie拷走，而后放在他的浏览器的目录下面，那么他登陆该网站的时候就是用你的的身份登陆的。因此 cookie是能够伪造的。固然，伪造的时候须要主意，直接copy    cookie文件到 cookie目录，浏览器是不认的，他有一个index.dat文件，存储了 cookie文件的创建时间，以及是否有修改，因此你必须先要有该网站的 cookie文件，而且要从保证时间上骗过浏览器。

5.两个均可以用来存私密的东西，一样也都有有效期的说法，区别在于session是放在服务器上的没过时时间取决于服务器的设定，cookie是存在客户端的，过时与否是能够再cookie生成的时候设置进去的，

（1）cookie数据存放在客户端的浏览器上，session数据放在服务器上。

（2）ckkoie不是很安全，攻击者能够分析放在本地的cookie并进行cookie欺骗，若是主要考虑到安全应当使用session

（3）session会在必定时间保存在服务器上。当访问量增大时，会占用你服务器的性能，若是主要考虑到减轻服务器的性能，应当使用cookie

（4）单个cookie在客户端的限制是3K，就是说一个站点在客户端存放的cookie不能超过3K。