Cookie
simple introduction
由于http是无状态的,因此服务器和客户端建立起`个性的`连接是不可以的,所以使用cookie机制。来标识唯一的用户,这样服务器就可以有选择的给客户端response内容
cookie存在客户端的内存中或者特定的文件中,这由服务器设定,内容就是一段文本。
cookie的有效期:maxAge,当此值为正数时,cookie将持久存在client特定的文件中,直到超过maxAge的时间cookie才会失效。如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。
cookie建立和使用过程:
step1:client请求
step2: 当服务器返回给客户端一个http响应信息时,其中如果包含Set-Cookie这个头部时,意思就是指示客户端建立一个cookie。
step3: 在后续的http请求中自动发送这个cookie到服务器端,直到这个cookie过期。
step4: 请求回应
除了cookie,客户端可以将需要发送的数据包含在请求的url中,包括常见的GET、POST
cookie安全性:
为了保证各自网站指定操作自己的cookie,所以cookie是不可跨域名的,也就是说baidu.com的cookie在访问www.baidu.com只能携带baidu.com的cookie。另外http协议在传输信息的时候是明文的,所以如果在明文下传递存在cookie中的敏感信息是和不安全的,此时可以设定Cookie的secure属性为true,必须使用https传输信息,当然包括cookie
Session
simple introduction
由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车
session在建立在服务端的用户的状态信息,但传送个客户端的是一个session id(一段字符串),客户端随后的请求时将携带这个session id,服务端就可以通过这个session id查到的用户状态信息。Session的使用比Cookie方便,但是过多的Session存储在服务器内存中,会对服务器造成压力。当有大量的请求时,为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了。
session需要cookie:有因为HTTP是无状态的,所以session不知道请求是不是来自同一客户端,此时服务端会想客户端浏览器发送一个Cookie,它的值就是session id,服务器通过这个cookie来识别是否时同一用户。由于这个cookie的maxAge为-1,存在内存中,所以一般浏览器关闭session id就会丢失。
如果Cookie别禁了:一般利用URL地址重写,将session id写在URL中传递给服务器,另外还有表单隐藏技术。
Cookie与Session的区别
cookie存储在客户端本地,session存储在服务器上
session比cookie安全些
session一般用来跟踪回话,cookie一般保存用户喜好或者保存用户名密码
session可存放在内存、文件、数据库、甚至一个集群中。#django默认是存在数据库中
Cookie有大小限制,一般最大3K
session对cookie有依附关系,session id会存在cookie中(cookie enable),然后写在http头部传给服务端。