session比cookie的优势在哪里，或者说两者有什么本质区别呢

水木社区手机版

主题:session比cookie的优势在哪里，或者说两者有什么本质区别呢
楼主|webasker|2009-08-05 17:39:45|只看此ID
session的实现最后还是要依赖于cookie，因为session还是要通过cookie来传递sessionid，这里暂时不考虑url的enconding，为何说session比cookie安全呢，只要将cookie传送时设为不允许在本地保存，安全性应该就和session相同了吧
--
FROM 123.127.137.*
1楼|sly9|2009-08-05 17:40:25|只看此ID
session的数据都放在服务器端相对是要安全一点。。

不过如果cookies被别人完全截获了，那的确是很危险的，因为这样别人就可以冒用你的session了。。

所以说要想安全就不要用不加密的wifi、到处用https。。
【在 webasker (学习web编程) 的大作中提到: 】
: session的实现最后还是要依赖于cookie，因为session还是要通过cookie来传递sessionid，这里暂时不考虑url的enconding，为何说session比cookie安全呢，只要将cookie传送时设为不允许在本地保存，安全性应该就和session相同了吧
--
FROM 61.135.255.83
2楼|shui|2009-08-05 18:55:07|只看此ID
针对html中的字符类型或者数字类型数据，在不加密wifi和http上面是有可能做到保密的。cookie可以从嵌在html里的javascript访问，也可以视为html中的数据。只要自己实现加解密就可以了。
当然，由于http没证书这一说，所以防不住别人截你的dns。
【在 sly9 (= =b) 的大作中提到: 】
: session的数据都放在服务器端相对是要安全一点。。
: 不过如果cookies被别人完全截获了，那的确是很危险的，因为这样别人就可以冒用你的session了。。
: 所以说要想安全就不要用不加密的wifi、到处用https。。
--
FROM 136.182.2.*
3楼|sayinger|2009-08-05 18:54:26|只看此ID
把概念理清楚就不会有这个问题了。

session本身跟cookie不是一个层面的东西，一个是抽象概念，一个是具体协议，根本不能比较。

而通常说“session比cookie安全”的时候，这里的session是涉及在服务端保持对象的一个具体实现，而这里的cookie则是指将对象序列化以后通过set-cookie传到客户端保存。于是，就演变为“对象保存在服务端比保存在客户端安全”，这样就很好理解了吧。至于说在这个session的实现中用到了cookie，很简单，这里虽然用cookie来保留凭证，但毕竟没有把对象直接存放在cookie中，所以相对直接“用cookie”来说，当然要安全一些。

而所谓cookie传送时设为不允许本地保存，并不会提高什么安全性，因为是否保存也只是协议而已，别人不遵守你也没办法，数据对象还是放服务端安全些。

【在 webasker (学习web编程) 的大作中提到: 】
: session的实现最后还是要依赖于cookie，因为session还是要通过cookie来传递sessionid，这里暂时不考虑url的enconding，为何说session比cookie安全呢，只要将cookie传送时设为不允许在本地保存，安全性应该就和session相同了吧
--
修改:sayinger FROM 202.106.68.*
FROM 202.106.68.*
4楼|sayinger|2009-08-05 19:08:02|只看此ID
那在你这个方案里，cookie扮演了什么角色，跨窗口数据共享？

【在 shui (水色) 的大作中提到: 】
: 针对html中的字符类型或者数字类型数据，在不加密wifi和http上面是有可能做到保密的。cookie可以从嵌在html里的javascript访问，也可以视为html中的数据。只要自己实现加解密就可以了。
: 当然，由于http没证书这一说，所以防不住别人截你的dns。
--
FROM 202.106.68.*
5楼|shui|2009-08-05 19:20:12|只看此ID
确切的说是跨请求
【在 sayinger (言者) 的大作中提到: 】
: 那在你这个方案里，cookie扮演了什么角色，跨窗口数据共享？
--
FROM 136.182.2.*
6楼|sayinger|2009-08-05 21:38:50|只看此ID
能跨窗口还不能跨请求？不过意义并不大，一来保存的数据太少，二来跟js在不同的scope内，很容易带来同步的问题。自己模拟多窗口比这个灵活可靠得多.

【在 shui (水色) 的大作中提到: 】
: 确切的说是跨请求
--
FROM 114.243.177.*
7楼|nullgate|2009-08-05 21:50:40|只看此ID
呼唤概念

【在 webasker (学习web编程) 的大作中提到: 】
: session的实现最后还是要依赖于cookie，因为session还是要通过cookie来传递sessionid，这里暂时不考虑url的enconding，为何说session比cookie安全呢，只要将cookie传送时设为不允许在本地保存，安全性应该就和session相同了吧
--
FROM 123.112.208.*
8楼|webasker|2009-08-06 11:00:37|只看此ID
别人截取了你的sessionid，那么还有什么安全可言？
【在 sayinger (言者) 的大作中提到: 】
: 把概念理清楚就不会有这个问题了。
: session本身跟cookie不是一个层面的东西，一个是抽象概念，一个是具体协议，根本不能比较。
: 而通常说“session比cookie安全”的时候，这里的session是涉及在服务端保持对象的一个具体实现，而这里的cookie则是指将对象序列化以后通过set-cookie传到客户端保存。于是，就演变为“对象保存在服务端比保存在客户端安全”，这样就很好理解了吧。至于说在这个session
: ...................
--
FROM 123.127.137.*
9楼|webasker|2009-08-06 11:01:29|只看此ID
空门大师啊，我知道session和cookie不是同一个概念，我就是从实现上来考虑。
【在 nullgate (空门·恨只恨我们家鬼害家神) 的大作中提到: 】
: 呼唤概念
--
FROM 123.127.137.*