Cookie的利弊端
cookie
虽然在持久保存客户端数据提供了方便,分担了服务器的存储压力的负担,但是还是有很多局限性。
- 每个特定的域名下最多生成20个cookie
- IE6或更低版本最多20个cookie
- IE7和之后的版本最后可以有50个cookie
- Firefox最多50个cookie
- Chrome和Safari没有做硬性限制
- IE
和Opera
会清理近期最少使用的cookie
,Firefox
会随机清理。
- cookie
最大大约为4096字节,为了兼容性,一般不能超过4095字节。
IE提供了一种存储可以持久化的用户数据,叫做uerData
,从IE5.0
就开始支持。每个数据最多128k,每个域名下最多1M。这种持久化数据放在缓存中,如果缓存没有清理,那么会一直存在。
优点:极高的扩展性和可用性
- 通过良好的编程,控制保存在
cookie
中的session
对象的大小。 - 通过加密和安全传输技术(SSL),减少
cookie
被破解的可能性。 - 只在
cookie
中存放不敏感的数据,即使被盗也不会有重大的损失。 - 控制
cookie
的生命期,使之不会永远有效。窃用着很可能拿到一个过期的cookie
。
缺点
- cookie数量和长度的限制。每个domain(域名)最多只能有20条
cookie
,每个cookie
长度不能超过4kb,否则长度会被截掉。 - 安全性问题。如果
cookie
被人拦截了,那么那个人就可以取得所有的session
信息。即使加密也于事无补,因为拦截者不需要知道cookie
的意义,他只要原样转发cookie
就可以达到目的了。 - 有些状态不可能保存在客户端。例如,为了防止重复提交表单,我们需要在服务器端保存一个计数器。如果我们把这个计数器保存在客户端中,那么它起不到任何作用。