Q1:cookie运行在客户端,session运行在服务端,对么?
A:不完全正确,cookie是运行在客户端,由客户端管理,session虽然运行在服务端,但是session作为一个cookie是存储在客户端的。
Q2:浏览器禁用cookie,cookie就不能用了,但session不会受浏览器影响,对么?
A:错,浏览器禁止cookie,cookie就不能用了,但是session会受浏览器端的影响,很简单,在登录一个网站后,清空浏览器的cookie和隐私数据,单击后台的连接,就会因为丢失cookie而退出,当然,有办法通过url传递session。‘
Q3:浏览器关闭后,cookie和session都消息了?
A:错,存储在内存中的cookie确实会随着浏览器的关闭而消失,但存储在硬盘上的不会,更顽固的是flash cookie,夸张地说只有格式化硬盘,它才会消失。不过现在很多系统软件如360安全卫士和新版浏览器已经支持删除flash cookie,百度采用了这样的技术记忆用户:session在浏览器关闭后也不会消失,除非正常退出,代码中使用了显示unset删除session,否则session可能被回收,也有可能永远残留在系统中
Q4:session比cookie更安全吗?不应该大量使用cookie吗?
A:错误。cookie确实存在一些不安全的因素,但和JavaScript一样,即使突破前端验证,还是后端保证安全。一切都要看设计,尤其是涉及权限的时候,特别需要注意。通常情况下,cookie和session是绑定的,获得cookie就相当于获得了session,客户端吧劫持的cookie原封不动的传给服务器,服务器收到后,原封不动的验证session,若session存在,就实现了cookie和session绑定的过程,因此,不存在session比cookie更安全这种说法,如果说不安全,也就是由于代码不安全,错误的把用在身份验证的cookie作为权限验证来使用。
Q5:session是创建在服务器上的,应该少用session而多用cookie,对吗?
A:错,cookie可以提高用户体验,但会加大网络之间的数据传输量,应尽量在cookie中仅保存必要的数据。
Q6:如果把别人机器上的cookie文件复制到我的电脑上(假设使用相同的浏览器),是不是能够登录别人的账号呢?如何防范?
A:是的,这属于cookie劫持的一种做法,要避免这种情况,需要在cookie中针对ip、ua等加上特殊的检验信息,然后和服务器进行对比。