cookie的原理

一般来说，Cookie通过HTTP Headers从服务器端返回到浏览器上。首先，服务器端在响应中利用Set-Cookie header来创建一个Cookie ，然后，浏览器在它的请求中通过Cookie header包含这个已经创建的Cookie，并且反它返回至服务器，从而完成浏览器的论证。
Cookie的保存方式

Internet Explorer 将站点的 Cookie 保存在文件名格式为 <user>@<domain>.txt 的文件中，其中 <user> 是您的帐户名。例如，如果您的名称为 user，您访问的站点为 www.nowamagic.net，那么该站点的 Cookie 将保存在名为 user@nowamagic.net.txt 的文件中。（该文件名可能包含一个顺序的编号，如 user@nowamagic.net [1].txt。） Cookie 文本文件是与用户相关的，所以会按照帐户分别保存。
Cookie限制

一个 Cookie 会占用大约 50 个字符的基本空间开销（用于保存有效期信息等），再加上其中保存的值的长度，其总和接近 4K 的限制。大多数浏览器只允许每个站点保存 20 个 Cookie 。
为什么选择把信息保存到cookie中

这时会有二种解决方案：
1、多数的服务器会使用session复制的方法：当session的值被改变时，将它复制到其它机器上。这个方案又有两种具体的实现（也就是晓峰上次演示） ，一种是广播的方式，缺点：当访问量增大的时候 ，带宽增大，而且随着机器增加，网络负担成指数级上升，不具备高度可扩展性 ；另一种是TCP-ring的方式，也就是把集群中所有的服务器看成一个环，A->B->C->D->A，首尾相接，缺点：一是配置复杂；二是每增添/减少一台机器时，ring都需要重新调整，这将成为性能瓶颈；三是要求前端的Load Balancer具有相当强的智能，才能将用户请求分发到正确的机器上。
2、将session保存在单一的数据源中，这个数据源可被集群中所有的机器所共享 ，但带来的问题就是性能问题了。
解决方案:是把session以Cookie的形式保存在客户端。
优点：极高的扩展性和可用性
1、通过良好的编程，控制保存在cookie中的session对象的大小。/
2、通过加密和安全传输技术（SSL），减少cookie被破解的可能性。
3、只在cookie中存放不敏感数据，即使被盗也不会有重大损失。
控制cookie的生命期，使之不会永远有效。偷盗者很可能拿到一个过期的cookie。
缺点：
Cookie数量和长度的限制。每个domain最多只能有20条cookie，每个cookie长度不能超过4KB，否则会被截掉。
安全性问题。如果cookie被人拦截了，那人就可以取得所有的session信息。即使加密也与事无补，因为拦截者并不需要知道cookie的意义，他只要原样转发cookie就可以达到目的了。
有些状态不可能保存在客户端。例如，为了防止重复提交表单，我们需要在服务器端保存一个计数器。如果我们把这个计数器保存在客户端，那么它起不到任何作用。