Cookie与Session的安全性

说到cookie与session我们首先要说一下为什么要引入这两个东西，这两个多西到底是干什么的

起源

由于HTTP协议使无状态的:

• 每一次请求都是新的请求,不会记得之前通信的状态
• 客户端与服务端的一次通讯,就是一次会话

由于HTTP协议无状态的特性，我们在某些存在状态的网站中(如登陆)，如果只是用HTTP协议而不加入状态保持，那当用户每次访问一个新的网页都需要用户进行登陆,降低用户的体验度，因此引入cookie和session对会话的状态进行存储，以达到状态保持的效果。

区别

Cookie

保存在浏览器中，以键值对的形式存在，可以用来做用户认证，存储上限一般为4K； 由于数据存储在浏览器中，容易被其他恶意程序利用，数据的安全性不高。

Session

将用户的会话信息保存在服务器端，key值是随机产生的字符串，value值时session的内容，依赖于cookie将每个用户对应的key值保存到浏览器中； session没有具体的大小限制，可以存储的数据量比cookie大； 由于信息保存在服务器端，不会轻易的被恶意程序利用，数据的安全性相对较高

安全性

上面也提到了，cookie是存在用户的浏览器中的，是可以被恶意程序获取并加以利用的；那么问题来了，既然cookie内的内容会被获取到，那存在cookie中的sessionid(也就是key值)，岂不是也会被获取到并加以利用？

没错，其实HTTP本身就不安全，只要是存在cookie中的数据都可以获取到并加以利用，但是session的安全性也是相对的，由于数据存储在数据库中，就算sessionid被获取利用，但是session中的数据并不会被恶意程序获取，这一点相对cookie来说就安全了一些；

所以使用HTTP协议的网页本身就不会带有较为敏感的信息（如支付），如果涉及到一些敏感的信息，并不希望被轻易获取到，还是建议使用HTTPS协议。

以上纯属个人理解，如有错误，欢迎指正

转载于:https://juejin.im/post/5c07c7026fb9a049fd0fa262