cookie和session

上一篇 / 下一篇  2015-01-29 16:37:40 / 个人分类:安全性测试

1.cookie是存在客户端的,session是存在服务端的
2.cookie:
1)用户登录一个网站,则浏览器中会生成一串cookie值,每次访问网站的其他页面都会把浏览器上的cookie内容和用户信息进行比对,如能对上,则能成功访问。若对不上,则跳转到登录页面重新登录。
2)存在浏览器上的cookie有个过期时间,若到了这个时间,则网站那边的cookie内容无效。需要重新登录生成新的cookie值
3)每次登录都会生成新的cookie值。

3.session:
1)用户登录一个网站,则服务器内存中会生成一个session值,若网站关闭,则session值就消失。若网站长时间不操作,也会删除session值
2)需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session,可调用request.getSession(true)强制生成Session。
3)session是依赖于cookie的。虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。


TAG:

 

评分:0

我来说两句

Open Toolbar