(資料圖)

1、cookie用于交互時存放在客戶端，即使用你臨時文件夾中不存在cookie,但在你的瀏覽器進程中會臨時保存你的cookie!session是交互時存放在服務端，即使用不保存，也在服務進程中。

2、如果你對網頁有交互，服務器如何在眾多請求中能識別你那是曾經的哪一個？這依賴于你傳遞上來的cookie,即合沒有任何其他的的交互，在你瀏覽器進程中也必須保存諸如sessionID之類的cookie!但這個是臨時的，只是為了識別你到底是誰而已。

3、知道了你是誰，服務器還需要知道該怎么做，那么在服務器進程中必須存在一個sessionID，這個與你請求的相對應，然后根據這個才知道你是誰，該怎么做。

4、sessionID是你初次請求時由系統生成，隨網頁流保存在你的瀏覽器進程中，以便你在使用postback等回傳功能時能識別你！要不然，你回傳了，另外一個請求卻得到你的回傳反應，這有點說不過去吧？sessionid相當于瀏覽器與服務進程進行了一個簡單的約定，可以理解為初次服務器發給你的一個通行號碼，以后你與服務器的任何交互都依賴于這個號碼！而其他的需要長期保存的一些信息也在cookie中，如用戶名與密碼等等，與這個通信的結果是相同的。

5、也就是說cookie與session同時存在，分別在客戶端與服務器！如果你通過網絡嗅探或是其他方式，得到了某一個瀏覽器正在交互的sessionid以及一些進程中保存的session信息，這個信息在客戶端稱cookie,這服務器稱session。

6、那么你可以利用這些信息進行攻擊。

7、如，在某臺電腦中保存有某用戶的user與password通行信息時，你可以將自己的cookie違裝成目標的cookie，然后可以進行登陸，這種攻擊方式叫cookie攻擊！如果他的這些信息保存在了瀏覽器進程中，也可以偽造，這種其實也是cookie攻擊，但由于其不確定性（你還必須拿到sessionid),這種稱為session攻擊。

8、其實說白了，這種方式在服務器中直接使用的session[“user"]之類的方式取得的，所以偽造時連同sessionid一塊偽造，所以才被稱為session攻擊的。

9、由于多標簽瀏覽器的存在，還可以進行網頁交叉攻擊！。

相信通過cookie和session的區別及原理這篇文章能幫到你，在和好朋友分享的時候，也歡迎感興趣小伙伴們一起來探討。

關鍵詞：