COOKIE与SESSION的区别详解

时间：2012-5-25 作者：smarteng 分类： WEB相关

COOKIE与SESSION比较

1、HTTP协议本身是无状态的。

我们上网都要靠HTTP协议传递信息。比如我们在浏览器里键入：www.jimeishuo.com这个网址并回车，你会发现网址会变成：http: //www.jimeishuo.com ，其原因就是浏览的网页是基于http协议的。http协议无法记录用户经常上哪些网站，有什么爱好，也无法记录用户的 ID帐号和密码。这就是所谓的HTTP协议无状态。HTTP协议本身是无状态的，这与HTTP协议本来的目的是相符的，客户端只需要简单的向服务器请求下载某些文件，无论是客户端还是服务器都没有必要纪录彼此过去的行为，每一次请求之间都是独立的，好比一个顾客和一个自动售货机或者一个普通的（非会员制）大卖场之间的关系一样，你认得它们，它们则肯定认不得你。

2、怎样理解cookie和session？

由于cookie和session关系密切，这里我们一并介绍。

打个比方：在三亚时，我常到一家熟食店买馋嘴鸭，该店老板为了促进销售，特发布“每购满10只即可免费赠送一只”的优惠措施。除了家里有什么红白喜事要飨客之外，应该不会有人一次性购买10只烤鸭吧？所以老板得想个法子来记录顾客的消费数量，这里总共有三种方案：

Ⅰ、老板记住每一个顾客的消费数量，等到顾客消费满10只的时候自动奉送一只。这好比HTTP协议本身是有状态的，可以记住顾客的活动行为。但遗憾的是，出于种种考虑http协议本身是不能有状态的，老板自个也没有这么超常的记忆力，故这种方案行不通！

Ⅱ、老板发给顾客一张积分卡，上面记录着消费的数量，一般还有个有效期限。每次买烤鸭时，如果顾客出示这张卡片，老板就知道这位顾客曾经光顾过小店。这种做法就是在客户端保持状态，好比是cookie技术。打开（windows系统）C:\Documents and Settings\用户名\Cookies，你会发现一些*.txt格式的小文件，这就是你浏览某些网站，它们发给你的“积分卡”(cookies)。

Ⅲ、老板发给顾客一张会员卡，除了卡号之外什么信息也不纪录，每次买烤鸭时，如果顾客出示该卡片，则老板搬出店里的划名册，找到你的卡号并加1个积分。这种做法就是在服务器端保持状态。

好比是session技术。

cookie和session最大的区别在于： cookie是把积分卡发给顾客，上面记录了顾客所有的消费信息。Session则是把只有卡号(session id)的积分卡发给顾客，自家记录了顾客所有的消费信息。Cookie是保存在客户端的；session是保存在服务器端，而session id则是保存在客户端，通常也是一个cookie小文件，由于这个小文件除了session id(好比卡号)外什么也没有，因此比cookie安全多了。

3、cookie和session有什么用？

常见的用法，比如在有些网站下载东西需要会员先登陆。http协议本身是无状态的，无法得知顾客是否已经登陆，怎么办呢？cookie和session就可以知道。再比如网上购物，购物车怎么知道顾客挑选过哪些商品呢？cookie和session也可以记录。总而言之，cookie和session就是能够记录顾客状态的技术，尽管二者属于不同的技术，但只要cookie能做到的，session也能做到！COOKIE攻略

1、什么是cookie？

0Cookie技术是一个非常有争议的技术，自经诞生它就成了广大网络用户和Web开发人员的一个争论焦点。有一些网络用户，甚至包括一些资深的Web专家也对它的产生和推广感到不满，这倒不是因为Cookie技术的功能太弱或别的技术性能上的原因，而仅仅是因为他们觉得Cookie的使用，对网络用户的隐私构成了危害。因为Cookie是由Web服务器保存在用户浏览器上的小文本文件，它包含有关用户的信息（如身份识别号码、密码、用户在Web站点上购物的方式或用户访问该站点的次数）。

那么Cookie技术究竟怎样呢？是否真的给网络用户带来了个人隐私的危害呢？还是让我们看了下面的内容，再做回答吧。

在WEB技术发展史上，Cookie技术的出现是一个重大的变革。最先是Netscape在它的Netscape Navigator 浏览器中引入了Cookie技术，从那时起，World Wide Web 协会就开始支持Cookie标准。以后又经过微软的大力推广（因为微软的IIS Web服务器所采用的ASP技术很大程度的使用了Cookie技术），即在微软的Internet Explorer浏览器中完全支持Cookie技术。到现在，绝大多数的浏览器都支持Cookie技术，或者至少兼容Cookie技术的使用。

按照Netscape官方文档中的定义，Cookie是在HTTP协议下，服务器或脚本可以维护客户工作站上信息的一种方式。Cookie是由Web服务器保存在用户浏览器上的小文件，它可以包含有关用户的信息（如身份识别号码、密码、用户在Web站点购物的方式或用户访问该站点的次数）。无论何时用户链接到服务器，Web站点都可以访问Cookie信息。

如果你使用的是windows系统，那么请打开C:\Documents and Settings\用户名\Cookies，你会发现该目录下有好多*.txt格式的小文件。那就是cookie文件。当然，在该目录下你也可能什么都发现不了，那时因为你新装了系统或者从未浏览过因特网，也或者你的浏览器禁用了cookie。否则该目录下总会有点东西的。

通俗地讲，浏览器用一个或多个限定的文件来支持Cookie。这些文件在使用Windows操作系统的机器上叫做Cookie文件，在Macintosh 机器上叫做magic Cookie 文件，这些文件被网站用来在上面存储Cookie数据。网站可以在这些Cookie文件中插入信息，这样对有些网络用户就有些副作用。有些用户认为这造成了对个人隐私的侵犯，更糟的是，有些人认为Cookie是对个人空间的侵占，而且会对用户的计算机带来安全性的危害。

目前有些Cookie是临时的，另一些则是持续的。临时的Cookie只在浏览器上保存一段规定的时间，一旦超过规定的时间该Cookie就会被系统清除。例如在PHP中Cookie被用来跟踪用户进程直到用户离开网站。持续的Cookie则保存在用户的Cookie文件中，下一次用户返回时，仍然可以对它进行调用。

在Cookie文件中保存Cookie，一些用户会过分地认为这将带来很大的问题。主要是有些用户担心Cookie会跟踪用户网上冲浪的习惯，譬如用户喜爱到那些类型的站点、爱从事些什么活动等。害怕这种个人信息一旦落入一些别有用心的家伙手中，那么个人也就可能成为一大堆广告垃圾的对象，甚至遭到意外的损害。不过，这种担心压根儿不会发生，因为网站以外的用户是无法跨过网站来获得Cookie信息的。所以想以这种目的来应用Cookie是不可能的。不过，由于一些用户错误的理解以及“以讹传讹”，一些浏览器开发商别无选择，只好作出相适的响应（例如Netscape Navigator4.0和Internet Explorer3.0都提供了屏蔽Cookie的选项）。个人认为，无风不起浪，如果网站程序员没有严谨思路的话，cookie确实也存在些许安全问题，不过这些瑕疵并不足以掩盖cookie的优秀品质，大多数人还是非常乐意使用它的。

对Cookie技术期待了这么久的结果是，迫使许多浏览器开发商在它们的浏览器中提供了对Cookie的灵活性控制功能。例如，目前的两大主流浏览器 Netscape Navigator 和 Internet Explorer是这样处理Cookie的:Netscape Navigator4.0不但可以接受Cookie进行警告，而且还可以屏蔽掉Cookie；InternetExplorer3.0也可以屏蔽 Cookie，但在Internet Explorer4.0中就只能进行接受警告而没有提供屏蔽选项，不过在Internet Explorer4.0之后的更新版本中又加入了屏蔽Cookie的功能选项。

此外，很多最新的技术甚至已经可以在不能屏蔽Cookie的浏览器上进行Cookie的屏蔽了。例如，可以通过将Cookie文件设置成不同的类型来限制 Cookie的使用。但是，非常不幸地是，要是你想完全屏蔽Cookie的话，肯定会因此拒绝许多的站点页面。因为当今已经有许多Web站点开发人员爱上了Cookie技术的强大功能，例如Session对象的使用就离不开Cookie的支持。

上一篇:为什么设置了cookie必须刷新页面才有效？下一篇:从10亿查询词找出出现频率最高的10个