本文介绍了HTTP协议中的状态保持机制,主要包括客户端存储信息的Cookie和服务器端存储信息的Session。详细解释了Cookie的工作原理及其安全性考虑,并阐述了Session依赖于Cookie进行用户状态跟踪的方式。
因为 http 是一种无状态协议,浏览器请求服务器是无状态的。
实现状态保持主要有两种方式:
- 在客户端存储信息使用
Cookie - 在服务器端存储信息使用
Session
Session依赖于Cookie
Cookie:
某些网站为了辨别用户身份、进行会话跟踪而储存在用户本地的数据(通常经过加密)
提示:
Cookie是存储在浏览器中的一段纯文本信息,建议不要存储敏感信息如密码,因为电脑上的浏览器可能被其它人使用
- 如访问gogal.com时向浏览器中写了Cookie信息,使用同一浏览器访问baidu.com时,无法访问到gogal.com写的Cookie信息
- 浏览器的同源策略
当浏览器请求某网站时,会将本网站下所有Cookie信息提交给服务器,所以在request中可以读取Cookie信息
Session:
Session依赖于Cookie
在服务器端进行状态保持的方案就是Session ;
对于敏感、重要的信息,建议要存储在服务器端,不能存储在浏览器中,如用户名、余额、等级、验证码等信息 ;
Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中;
session中保存的是对象,cookie中保存的是字符串 ;
session 的运行依赖 session id,而 session id 是存在 cookie中的 :
每次HTTP请求的时候,客户端都会发送相应的Cookie信息到服务端。实际上大多数的应用都是用 Cookie来实现Session跟踪的,第一次创建Session的时候,服务端会在HTTP协议中告诉客户端,需要在 Cookie 里面记录一个Session ID,以后每次请求把这个会话ID发送到服务器,我就知道你是谁了。
当然利用session来保持状态会有很多问题,最主要会有两个问题:
1.随着用户量的增多,保存session会比较占用服务器的内存
2.cookie一段被截取,就会存在安全上的风险,还有一些钓鱼网站,利用csrf攻击,所以使用cookie时必须开启csrf保护。
扫一扫
719
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
