cookie和session的区别异同

1、用于保存页面信息：如自动登录，记住用户名

2、对于同一个网站只有一套cookie，它是以域名为单位的，一个域名就是一套，数量大小有限4k-10k，同时会具有过期时间

3、JS中通过document.cookie进行调用

a、设置：在cookie中利用document.cookie=”user=ni;expires=Date;Path=path;HttpOnly;等”，通过此方法依次设置一个值，赋值时不会进行覆盖而是添加到之前值得末尾，但是同名的参数则会将其进行覆盖，有多个值需要设置时利用该形式多次赋值，指定过期时间的cookie是存储在本地的，没有指定时为session Cookie会话结束后就会将cookie删除掉。如果设置了domain和path则只有在指定的域下面的路径的子部分可以访问设置这些  cookie。

b、读取cookie：读取时要注意读取的值得形式是：a=1, b=2, c=3每个变量之间用逗号加空格的形式隔开，不会带有后面的参数属性值，所以获取时要利用split函数。

c 、删除cookie时只用将expires设置为-1即可。

Var a=setDate(new date()+day) day可以为任意值表示将当前时间加上指定天数后的日期，该方法会自动的按照正常日历的方式进行加天数。如:当前时间为2016-05-02，day为30时则a的值为：2016-06-1。当day很大时也是同样的道理往前推。

4、通过http请求资源时会携带cookie的值（在IE678，Safari中跨域请求时不能携带设置有过期时间的cookie）,但是所有的游览器不允许跨域访问。

5、通过设置HttpOnly（只有发送http请求时才会发送cookie的值，JS不能直接获取到cookie）可以防止XSS中的cookie劫持

cookie的缺陷是非常明显的

1. 数据大小：作为存储容器，cookie的大小限制在4KB左右这是非常坑爹的，尤其对于现在复杂的业务逻辑需求，4KB的容量除了存储一些配置字段还简单单值信息，对于绝大部分开发者来说真的不知指望什么了。

2. 安全性问题：由于在HTTP请求中的cookie是明文传递的（HTTPS不是），带来的安全性问题还是很大的。

3. 网络负担：我们知道cookie会被附加在每个HTTP请求中，在HttpRequest 和HttpResponse的header中都是要被传输的，所以无形中增加了一些不必要的流量损失。

Cookie 是保存在客户端的，session是保存在服务器端的，在项目中使用cookie时要注意设置cookie的过期时间和path，特别是path用于指定该目录下的所有文件均可以访问设置的cookie值。Cookie就是一个拼接的字符串，一次可以设置一个key value以及过期时间等。

Session是用于保存当前的用户登录信息的，存在服务器端，由于http协议的无状态性，无法知道当前用户是否已经处于等陆状态，所以需要借助cookie来保存当前会话状态中的登录信息，将session的值以sessionID的形式存在cookie中，当发送http请求时cookie会发送到服务器端，通过sessionID的值来判断用户是否处于登录状态。当然用户可以禁用cookie，此时则需要利用URL地址重写，即将用户的session信息写到URL中