session和cookie是对HTTP协议,无状态特点的补偿
cookie
cookie主要用来记录用户状态,区分用户
状态保存在客户端
客户端发送的cookie在http请求报文的cookie头部字段中 服务端设置http响应报文的set-cookie头部字段中
怎样修改cookie
- 新cookie覆盖旧cookie
- 覆盖规则:name、path、domain等需要与原cookie一致
怎样删除cookie
- 新cookie覆盖旧cookie
- 覆盖规则:name、path、domain等需要与原cookie一致
- 设置cookie的expires等于过去的一个时间点,或者maxAge等于0
怎样确保cookie的安全
- 对cookie进行加密处理
- 只在https上携带cookie
- 设置cookie为httpOnly,防止跨站脚本攻击
session
session 也是用来记录用户状态的,区分用户
状态存放在服务器端
session和cookie的关系
session需要依赖cookie机制