理解Cookie和Session机制，及其安全问题

大家常说"Cookie保存在客户端而Session保存在服务端"，很多人看了有疑惑，明明Session就在Cookie中啊，为什么这么说？二者到底有啥区别？

一、Cookie

首先分清Cookies和Cookie

Cookies严格来说是个存储空间，是个载体，用提交持久化的信息，浏览器发送HTTP请求时会自动带上此域的所有Cookie，抓包能发现就在HTTP Header中

Cookie就是存储在Cookies中的一条条数据

但当我们说Cookie和Session的区别时，这里的Cookie就变成了一种和Session一样的机制，用来比较

网站设计时，服务端可能每次收到请求都需要知道客户端的某种信息，比如用户登录时间，这种信息又不足以重要到需要保存在服务端，那么可以借助Cookie

数据在服务端生成，生成后通过Set-Cookie发送给客户端后，服务端自身不保存，当客户端再次有请求时，服务端可以从请求的HTTP Header中调出这个数据

这能解释"Cookie保存在客户端"了

二、Session

Session是身份认证的凭证，用户登录后，服务器分发一个凭证，以后用户再请求带上这个凭证就能明确身份，不用每次都用账号密码来证明身份

这么重要的数据当然得保存在服务端，且以服务端的为准。但客户端也得保存，才能在登录周期中每次请求都带上

"每次请求都带上"这显然就和Cookie一样，所以就有很多开发者把Session放在Cookie里，不用自己写前端代码把Session塞进请求里，浏览器自己会带上

但Session和Cookie真的一样么？当然不，这样设计会带来安全问题。

三、Session Cookie混用带来的安全问题

目前的浏览器有以下空间供网站使用

• Cookie：持久保存，大小限制4kb，最多放20个，每次请求都会带上所有Cookie

• Session Storage：关闭标签后失效，请求不会主动带上

• Local Storage：持久保存，请求不会主动带上

我们再来看几个Web的安全漏洞

• XSS，跨站脚本攻击。攻击者获得页面的js权限，能操作页面的一切，包括Session Storage和未设置HTTP Only属性的Cookie

• CSRF，跨站请求伪造，就是钓鱼网站，在网站A，发送一个向网站B的请求，由于浏览器会在请求中加上此域的Cookie，所以如果在浏览器登录了网站B，又打开了钓鱼网站A，网站A构造的前往网站B的请求就会带上你的Cookie，如果Cookie中有用户凭证，服务器认为你是登录用户，请求就会被响应。比如点赞、关注、发色情广告等请求

防御XSS，把关机Cookie设置HTTP Only属性即可，js无权访问

而防御CSRF，推荐使用token机制，服务器颁发token，按规范来说推荐存储在Session Storage中（也可以放cookie中，由于浏览器的同源策略，网站A无法访问网站B的cookie），js将其添加到请求的参数或Header中

以上两个措施，都需要做到，才能防护这两个攻击。

另外博主以为，服务器校验referer Header也是能防御CSRF的

四、错误示范

• 把用户登录凭证放在Cookie中，未设置HTTP Only，请求中无token参数/Header

  容易遭受XSS、CSRF攻击

• 把用户登录凭证放在Cookie中，设置了HTTP Only，请求中无token参数/Header

  容易遭受CSRF攻击，成功防御XSS攻击

• 把用户登录凭证放在Cookie中，未设置HTTP Only，请求中有token参数/Header（前端把token保存在Session Storage，保存在Cookies，未设置HTTP Only）

  容易遭受XSS攻击，攻击者能构造请求，把token拼上，成功防御CSRF攻击

• 把用户登录凭证放在Cookie中，设置了HTTP Only，请求中有token参数/Header【规范防御】

  成功防御XSS、CSRF攻击

• 把用户登录凭证放在Cookie中，未设置HTTP Only，请求中有token参数/Header（前端把token保存在保存在Cookies，设置了HTTP Only）【稀里糊涂地防御】

  成功防御XSS、CSRF攻击

• 把用户登录凭证放在Cookie中，设置了HTTP Only，且请求参数/Header中也添加并校验此凭证【极简防御一】

  一个凭证同时防御XSS、CSRF攻击，虽然看起来不正道，不正经

• 把用户登录凭证放在Cookie中，设置了HTTP Only，且服务器校验referer Header【极简防御二】

  一个凭证同时防御XSS、CSRF攻击，浏览器js目前似乎无法修改请求的referer头

五、最后

现在浏览器的安全也逐步做上来了，一定程度上能防御CSRF

以上，讲得不对望指正