cookie和session的区别及原理

cookie和session的区别及原理

cookie用于交互时存放在客户端，即使用你临时文件夹中不存360问答在cookie,但在你的浏览措守仍亲植庆总学器进程中会临时保存你的cookie!session是交互时存放在服务端，即使用不保存，初既失们液东也在服务进程中。

如果你对网页有交互，服务器如何在众多请求中能识别且凯事古钢务你那是曾经的哪一个？这依赖于你传递上来的coo轮道安东kie,即合没有任何其他的的交互，在你浏览器进程中也必须保存诸如sessionID之类的cookie!但这个是临时的，只是为了识别你到由他底是谁而已。知道了你是谁，服务器还需要知道该怎么做，那么在服务器进程中必须存在一个仅除宜sessionID，这个与你请求的相对应，然后根据这个才知道你是谁，该怎么连棉离地顶压居前校银做。

sessionID是你初次请求时由系统生成，随网页流保存在你的浏览器进程中，以便你在使用postback等回传功能时能识别你！要不然，你回传了，另外一个请求却得到你的回传反应，这有点说不过去吧？

sessionid相当于浏挥青振虽父更多看谁览器与服务进程进行了一个简单的约定，可以理束减怕察酸扬太乎均星解为初次服务器发给你的一个通行号码，以后你与服务器的任何交互都依赖于这个号码！

而其他的需要长期保存的一些信息也在cookie中，如用户名与密码等等，与这个通信的结果是相同的。也就是说调历应烧危迅破弱以厚交cookie与session同时存在，分别在客户端与服务器！

如果你通过网络嗅探或是其他方式，得到了某一个浏览器正在交互的se诉龙东美看ssionid以及一些进程中保存的session信息，这个信息在客户端称cookie,这服务器称session。那么你可以利用这些信息进行攻击。

如，在某台电脑中保存有某用户的user与password通行信息时，你可以将自己的cookie违装成目标的cookie，银尔模执感限然后可以进行登陆，这种攻击方式叫cookie开推宣坐司皇攻击！

如果他的这些信息保存在了浏览器进程中，也可以伪造，这种其实也是cookie攻族护装审造写点均击，但由于其不确定性（你还必须拿到sessionid),这种称为session攻击。其实说白了，这种方式在服务器中直接使用的session[“user"]之类的方式取得的，所以伪造时连同sessionid一块伪造，所以才被称为session攻击的。

由于多标签浏览器的存在，还可以进行网页交叉攻击！