1.Cookie 依然遵循“同源策略”,只有用目标服务器域名设置的 Cookie 才会上传,而且使用 document.cookie 也无法读取目标服务器域名下的 Cookie。所以不能跨域获取cookie数据
2.cookie存储在客户端,session存储在服务器端,服务器端有个明细列表,将cookie数据与列表一一对应。
3.服务器传送cookie时设置属性secure为true,表示创建的cookie只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以很难被窃听到。
4..服务器传送cookie时设置属性HttpOnly,HttpOnly告知浏览器不允许通过脚本document.cookie
去更改这个cookie值,事实上,设置HttpOnly之后,这个值在ocument.cookie中不可见。但是在HTTP请求的过程中,依然会发送这个
Cookie到服务器端。