调试易

第一个肯定是错误的。
至于第二个嘛，我也不大认同。
在我的印象当中，如果要实现会话机制，就必须通过sesison。因为session是服务器端保存一次会话信息的唯一数据载体
至于实现会话跟踪的技术，无非就是让每一次请求到达服务器时，准确的获取到已有的session。
我记得就三种吧：
1。cookie：在浏览器不禁用掉cookie的情况下，浏览器的每次请求都会自动带上cookie中保存的sessionId到服务器，这时候，服务器会根据sessionId获得到相应的session。
2。隐藏表单域：在页面上使用隐藏的表单域保存sessionId，每次页面的提交都会带上这个隐藏表单域里面的sessionId，这时候，服务器也能根据隐藏表单域里面的sessionId获取到相应的session
3。url重写：其实现机制也就是在页面上所有的连接地址后面都追加上sessionId的键值对，这样服务器也能根据连接后面跟随的sessionId获取到相应的session。

解释四种会话跟踪技术？
解答：隐藏表单域、URL 重写,Cookie、Session。
1）.隐藏表单域：<input type="hidden">，非常适合步需要大量数据存储的会话应用。
2）.URL 重写:URL 可以在后面附加参数，和服务器的请求一起发送，这些参数为名字/值对。
3）.Cookie:一个 Cookie 是一个小的，已命名数据元素。服务器使用 SET-Cookie 头标将它作为 HTTP
响应的一部分传送到客户端，客户端被请求保存 Cookie 值，在对同一服务器的后续请求使用一个
Cookie 头标将之返回到服务器。与其它技术比较，Cookie 的一个优点是在浏览器会话结束后，甚至
在客户端计算机重启后它仍可以保留其值。
4）.Session：使用 setAttribute(String str,Object obj)方法将对象捆绑到一个会话

解释四种会话跟踪技术？
解答：隐藏表单域、URL 重写,Cookie、Session。
1）.隐藏表单域：<input type="hidden">，非常适合步需要大量数据存储的会话应用。
2）.URL 重写:URL 可以在后面附加参数，和服务器的请求一起发送，这些参数为名字/值对。
3）.Cookie:一个 Cookie 是一个小的，已命名数据元素。服务器使用 SET-Cookie 头标将它作为 HTTP
响应的一部分传送到客户端，客户端被请求保存 Cookie 值，在对同一服务器的后续请求使用一个
Cookie 头标将之返回到服务器。与其它技术比较，Cookie 的一个优点是在浏览器会话结束后，甚至
在客户端计算机重启后它仍可以保留其值。
4）.Session：使用 setAttribute(String str,Object obj)方法将对象捆绑到一个会话

number two！
number one是四个内置对象

既然是考题，其答案就未必准确；楼主我相信你自己其实可以推导出来。所谓会话，本质上就是客户端和服务器端所约定的一个“标识”甚至可以说“暗号”（为什么我说是暗号，我最后再进行解释下），这个“暗号”用于客户端向服务器端标识自己的访问身份，从而服务器端可以为这个身份保存一些临时上下文数据，从而简化业务操作。J2EE应用中比较有名的“暗号”就是JSessionId。所以对于2的四个选项，就是是否能用于客户端向服务器端传递暗号？
◎ cookie：应该都知道Cookie内容会在每次访问服务器时自动加入到HTTP请求的head中；可以。
◎ session：这个是本题目的主要败笔，会话跟踪主要就是跟踪session，岂不是自己推证自己了？扯淡。
◎ url参数：URL参数，自然可以用于传递信息，甚至有些网站为了支持客户端禁用Cookie的情况，特意支持将JSessionId写在URL的做法；可以。
◎ 隐藏域：说白了就是FORM中type为hidden的INPUT标签，显然可以用POST等方式传递数据；可以。所以我个人认为，答案并不准确。当然实在要选，貌似也只能选2了。
另外补充下关于“暗号”的说法。
所谓“暗号”就有泄漏的问题，你喊一句“天王盖地虎”，他喊“宝塔镇河妖”，对上暗号就以为身份对了。可惜万一暗号被别人知道了呢？岂不是就让服务器把别人当成你了？实际上JSessionId就有这样的问题。
这就是赫赫有名的“会话劫持”，具体情况也很清楚了，就是你跟服务器约定好的JSessionId，很不幸被恶意第三方知道了，而且你的身份还很不幸的是个Admin，那么这事情就玩大了，恶意第三方就可以带着这个暗号找服务器：“哥们，把数据都给老子查出来，然后全删了”。服务器自然是：“喳～～～”。具体就不乱扯了，喜欢的同学自己Google好了。