簡(jiǎn)述cookie和session的區(qū)別？1. 不同的數(shù)據(jù)存儲(chǔ)位置：2。不同的安全級(jí)別：3。不同的性能級(jí)別：會(huì)話將在服務(wù)器上保存一段時(shí)間。當(dāng)訪問(wèn)量增加時(shí)，它將占用服務(wù)器的性能。為了降低服務(wù)器的性能，您應(yīng)

簡(jiǎn)述cookie和session的區(qū)別？

1. 不同的數(shù)據(jù)存儲(chǔ)位置：2。不同的安全級(jí)別：3。不同的性能級(jí)別：會(huì)話將在服務(wù)器上保存一段時(shí)間。當(dāng)訪問(wèn)量增加時(shí)，它將占用服務(wù)器的性能。為了降低服務(wù)器的性能，您應(yīng)該使用cookies。

4. 數(shù)據(jù)存儲(chǔ)大小不同：?jiǎn)蝹€(gè)cookie不能保存超過(guò)4K的數(shù)據(jù)，許多瀏覽器限制一個(gè)站點(diǎn)最多保存20個(gè)cookie，而會(huì)話存儲(chǔ)和服務(wù)器，瀏覽器對(duì)其沒(méi)有限制。

5. 會(huì)話機(jī)制不同于會(huì)話機(jī)制：會(huì)話機(jī)制是一種服務(wù)器端機(jī)制，它使用類似于哈希表（也可能是哈希表）的結(jié)構(gòu)來(lái)保存信息。Cookie會(huì)話機(jī)制：Cookie是由服務(wù)器存儲(chǔ)在本地計(jì)算機(jī)上的一小段文本，并隨每個(gè)請(qǐng)求一起發(fā)送到同一服務(wù)器。web服務(wù)器使用HTTP頭將cookie發(fā)送到客戶端。在客戶端，瀏覽器解析cookie并將其保存為本地文件，該文件自動(dòng)將來(lái)自同一服務(wù)器的任何請(qǐng)求綁定到這些cookie。

假設(shè)我拿到了別的用戶的淘寶網(wǎng)站的cookie，我放到自己的http請(qǐng)求里，我就可以冒充這個(gè)用戶嗎？

理論上，如果你得到一個(gè)cookie，你就可以模擬一個(gè)用戶。根據(jù)以下具體分析：

此“身份密碼”由服務(wù)器生成并放置在客戶端瀏覽器的cookie中。服務(wù)器將有一個(gè)與之對(duì)應(yīng)的會(huì)話，會(huì)話ID也存儲(chǔ)在cookie中。

如上所述，服務(wù)器的會(huì)話ID存儲(chǔ)在客戶端的cookie中，以便其他用戶在cookie中獲得會(huì)話ID后，可以模擬原始用戶啟動(dòng)請(qǐng)求。

這似乎不合理

！但是，這是cookies和會(huì)話的機(jī)制。我們說(shuō)過(guò)當(dāng)cookie被禁用后，session可能無(wú)法正常工作，但是我們可以通過(guò)get將sessionid傳遞給服務(wù)器，因此如果sessionid以明文形式傳輸，則存在安全風(fēng)險(xiǎn)。

由于cookie存儲(chǔ)在客戶機(jī)中并且不安全，因此當(dāng)我們將用戶數(shù)據(jù)存儲(chǔ)在cookie中時(shí)，我們將對(duì)其進(jìn)行加密。例如，它將驗(yàn)證用戶的IP、終端身份等，即使其他用戶偽造Cookie，也無(wú)法驗(yàn)證。

可以通過(guò)js獲取session的值嗎？

但是我們可以通過(guò)其他方式讓JS獲得session的價(jià)值。

通過(guò)這種方式，會(huì)話值是通過(guò)JS偽裝獲得的。