今天谈谈自己学习web开发关于跨域中cookie和session的一点心得,纯属做个笔记。
cookie和session的共同点是他们都是以键值对的方式保存,都可以设置过期时间,他们的作用都是保存一些临时的数据。他们都可以选择保存在内存中或者其他地方,session可以选择保存在数据库或文件中,而cookie可以选择保存在文件中,不保存在内存是为了能够即使在不同的进程中也能够访问到数据,还有就算进程重启数据也不会丢失。
接下来讲讲本文的重点,就是在跨域的时候cookie和session有什么联系呢?首先,当浏览器与服务器第一次连接的时候,服务器如果启用了session,那么他就会随机生成一个sessionid,然后发送一条setcookie的指令并且带上这个生成的sessionid给浏览器。注意,虽然浏览器设置了sessionid在cookie里面,但是这个cookie仍然是不能被访问到的,这个是出于跨域的安全考虑,此时服务器的session也会保存一份cookie在里面。既然没办法访问到这个sessionid那又有什么意义呢?浏览器出于安全不让用户去访问这个sessionid,但是他自己可以访问,只要浏览器没有被关闭,那么这个sessionid在过期之前就会存在在浏览器的内存中,以后的每次请求,浏览器都会自动把这个sessionid添加到请求头部,浏览器收到这个请求,根据这个sessionid就可以识别用户了。当用户提交数据的时候,浏览器会自动附带上sessionid的数据。服务器就可以获取这个sessionid,来把用户需要临时保存的信息保存在这个sessionid对应的session里面。