把概念理清楚就不会有这个问题了。

session本身跟cookie不是一个层面的东西，一个是抽象概念，一个是具体协议，根本不能比较。

而通常说“session比cookie安全”的时候，这里的session是涉及在服务端保持对象的一个具体实现，而这里的cookie则是指将对象序列化以后通过set-cookie传到客户端保存。于是，就演变为“对象保存在服务端比保存在客户端安全”，这样就很好理解了吧。至于说在这个session的实现中用到了cookie，很简单，这里虽然用cookie来保留凭证，但毕竟没有把对象直接存放在cookie中，所以相对直接“用cookie”来说，当然要安全一些。

而所谓cookie传送时设为不允许本地保存，并不会提高什么安全性，因为是否保存也只是协议而已，别人不遵守你也没办法，数据对象还是放服务端安全些。

【 在 webasker (学习web编程) 的大作中提到: 】
: session的实现最后还是要依赖于cookie，因为session还是要通过cookie来传递sessionid，这里暂时不考虑url的enconding，为何说session比cookie安全呢，只要将cookie传送时设为不允许在本地保存，安全性应该就和session相同了吧
--
修改:sayinger FROM 202.106.68.*
FROM 202.106.68.*