一、cookie 1、简述:cookie是一种在客户端保持HTTP信息的技术,由于HTTP协议是无状态的,而服务端的业务必须是要有状态的,因此可以使用cookie来存储状态信息、标识用户身份等(即cookie用于会话跟踪)
2、cookie工作原理:由于HTTP是无状态的协议,服务器但从网络连接上无法知道用户身份。因此要给每个用户颁发一个通行证(即cookie),无论谁访问都必须携带自己的通行证(即cookie),这样就可以确认用户的身份了。
3、cookie一般由服务端生成,cookie实际上是一小段的文本信息。浏览器请求服务器时,如果服务器需要记录该用户状态,就用response返回一个cookie给客户端,然后浏览器进行保存。当再次请求时会把cookie携带给服务器,并对它进行验证来辨认用户状态。
4、cookie的属性
Name:cookie的名称,一旦创建,名称不可修改。如果创建了同名cookie,则会进行覆盖。Value:cookie的值。max-age/Expires:cookie的失效时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1。(max-age的优先级高于Expires)path:cookie的使用路径。如果设置为 “/” ,则本域名下的路径都可以访问cookie;如果设置成例如 “/sessionWeb/” ,则只有路径为 “/sessionWeb” 才可以访问cookie。domain:可以访问cookie的域名,如果设置为 “.google.com”,则所有以 “google.com” 结尾的域名都可以访问该cookie。secure:cookie是否使用安全协议传输(true/false);默认为false。5、原生JS对cookie进行操作
// 设置cookie function setCookie(name,value,days) { // 名称,值,有效时间 let exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + "="+ escape (value) + ";expires=" + exp.toGMTString(); } // 根据 cookie 名称获取值 function getCookie(name){ let arr; let reg=new RegExp("(^| )"+name+"=([^;]*)(;|$)"); if(arr=document.cookie.match(reg)) return unescape(arr[2]); return null; } // 删除 cookie // 利用设置cookie的方法来删除cookie:设置cookie时,同名cookie会被覆盖,然后将cookie的有效时间设置为 0或者负数(一般为 -1) // 0表示删除cookie,负数表示该cookie为临时cookie,关闭浏览器cookie就失效。 function removeCookie(name) { setCookie(name, "", -1); }二、session 1、简述:session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
2、session依赖于cookie:服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此session会依赖cookie。(HTTP连接是无状态的,session不能通过HTTP的连接来判断是否为同一用户,故需依赖cookie)
3、session生命周期:Session保存在服务器端,为了获得更高的存取速度,服务器一般把Session放在内存里,每个用户都会有一个独立的Session。Session在用户第一次访问服务器的时候自动创建(需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session),Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。
三、cookie和session的区别 1、cookie存放在浏览器上,session存放在服务器上; 2、cookie不是很安全,攻击者可以窃取cookie进行cookie欺骗(如果考虑到安全应当使用session); 3、session保存在服务器上。当访问增多,会影响服务器的性能(如果主要考虑性能应当使用cookie); 4、cookie存放在浏览器有大小限制,一般为4k; 5、一般将登陆信息等重要的信息存放于session,其他信息如若需要保留可以存放在cookie上。
