cookie 和session 的区别与联系（cookie和session的区别及原理）

今天小编岚岚来为大家解答以上的问题。cookie 和session 的区别与联系，cookie和session的区别及原理相信很多小伙伴还不知道,现在让我们一起来看看吧！

1、cookie用于交互时存放在客户端，即使用你临时文件夹中不存在cookie,但在你的浏览器进程中会临时保存你的cookie!session是交互时存放在服务端，即使用不保存，也在服务进程中。

2、如果你对网页有交互，服务器如何在众多请求中能识别你那是曾经的哪一个？这依赖于你传递上来的cookie,即合没有任何其他的的交互，在你浏览器进程中也必须保存诸如sessionID之类的cookie!但这个是临时的，只是为了识别你到底是谁而已。

3、知道了你是谁，服务器还需要知道该怎么做，那么在服务器进程中必须存在一个sessionID，这个与你请求的相对应，然后根据这个才知道你是谁，该怎么做。

4、sessionID是你初次请求时由系统生成，随网页流保存在你的浏览器进程中，以便你在使用postback等回传功能时能识别你！要不然，你回传了，另外一个请求却得到你的回传反应，这有点说不过去吧？sessionid相当于浏览器与服务进程进行了一个简单的约定，可以理解为初次服务器发给你的一个通行号码，以后你与服务器的任何交互都依赖于这个号码！而其他的需要长期保存的一些信息也在cookie中，如用户名与密码等等，与这个通信的结果是相同的。

5、也就是说cookie与session同时存在，分别在客户端与服务器！如果你通过网络嗅探或是其他方式，得到了某一个浏览器正在交互的sessionid以及一些进程中保存的session信息，这个信息在客户端称cookie,这服务器称session。

6、那么你可以利用这些信息进行攻击。

7、如，在某台电脑中保存有某用户的user与password通行信息时，你可以将自己的cookie违装成目标的cookie，然后可以进行登陆，这种攻击方式叫cookie攻击！如果他的这些信息保存在了浏览器进程中，也可以伪造，这种其实也是cookie攻击，但由于其不确定性（你还必须拿到sessionid),这种称为session攻击。

8、其实说白了，这种方式在服务器中直接使用的session[“user"]之类的方式取得的，所以伪造时连同sessionid一块伪造，所以才被称为session攻击的。

9、由于多标签浏览器的存在，还可以进行网页交叉攻击！。

本文就为大家分享到这里，希望小伙伴们会喜欢。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！