为什么要禁用Cookie？

思考一：为什么要禁用Cookie？

首先，cookie是服务端生成返回给客户端的，客户端会保存cookie到本地，甚至会永久保存。cookie有跨域(协议、域名、端口其中有一个不同就会产生跨域问题)问题。

 

cookie是和http捆绑在一起的，应该是当时科学家在设计http协议时就定义死了一个叫做cookie的字段用来保存会话信息。

 

既然http协议定义了一个cookie字段用来保存会话信息，那么我们就可以将会话信息保存到cookie里面，并返回给客户端。

 

cookie:加密(用户信息)

 

因为大家都遵循http协议，因此客户端也可以获取到cookie字段，然后客户端会保留cookie到本地(其实这个是客户端开发者决定的，保不保存都可以，但是浏览器都是默认保存的，因此在开发web项目时，要考虑是否应该使用cookie，目前有的浏览器默认禁用cookie)

 

cookie的优缺点:

不管什么技术都有着自身的局限性，我认为cookie没有什么严重的缺点，主要是看你的业务情况，是否适合使用cookie。有的说cookie有安全性问题，会被拦截转发。我觉得不算是cookie的问题，因为数据在网络上传输，肯定会有被拦截的情况。这又是另一个问题。

 

使用环境：

1、web项目还是java项目？

2、单体、集群还是分布式？

 

不管什么使用环境都可以使用cookie，技术都是为了解决业务问题。

 

个人经历：

我司有个项目和腾讯教育合作，有一个功能是嵌入腾讯平台的，因为腾讯禁用了cookie。我们就直接定义一个token放到请求头中，通过这个token来跟踪会话，其实和cookie的原理是一样的。

 

思考二：session会话机制

cookie是将会话信息保存到客户端，session则是将会话信息保存到服务端，返回会将sessionId保存在cookie里面返回给客户端。（如果禁用了cookie，其实也可以参考我上面的方式，单独创建一个请求头来保存，比如token）

 

服务器创建session会保存到内存中，那么在使用session时要注意使用的环境。在集群和分布式下，session是独立的，因此要做session共享。

 

session和cookie都有超时设置。因为session是保存在内存中的，还需要注意内容溢出问题，需要设置session超时，要注意清空过时的session，释放内存。