新手想请教下各位前辈session和cookie的差别,以及2个东西各自在什么时候用比较好,希望能说得详细点。
解决方案 »
- 关于nutch
- jsp里时间自动刷新
- jquery的ajax方法去调用struts2的action方法,怎样把后台的数据传到前台进行显示啊
- HTTP Status 500,己上源码
- 点击一个按钮,整个页面出现一个遮盖层,遮盖层弹出个页面框,框里有些form等
- webwork+hibernate+sqlserver2000数据库连接不释放,系统当掉??
- 不吃回头草
- jsp用户登陆判断的时候,英文用户可以登陆,中文用户出错,应该怎样解决?
- 大家都来看看!!!!!希望有位好人建立一个群!!
- ***最后的95分求答案,还是javamail判断smtp、用户名和密码吻不吻合的问题,请大家救救我***
- jsp +javabean 简单功能出错问题 (在线等)
- 关于SSH架构问题,很急~~
数据实际传输内容:IE到服务器
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language0: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.souzz.net
on: Keep-Alive
服务器会返回一个没有被使用的SESSIONID让IE使用,当时IE就对返回SESSIONID做存储并同时返回相关页面的下载数据,如下:服务器到IE
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Sun, 30 Nov 2003 16:41:51 GMT
Content-Length: 21174..Content-Type: text/html
Set-Cookie: ASPSESSIONIDCACBBBRT=IBOMFONAOJFEEBHBPIENJFFC; path=/
Cache-control: private
然后就是页面HTML代码此时这个IE程序(不是客户机)的SESSIONID就为IBOMFONAOJFEEBHBPIENJFFC而当IE在访问任何这个站点的ASP程序的时候,就会把IBOMFONAOJFEEBHBPIENJFFC发送给服务器,服务器就会知道IBOMFONAOJFEEBHBPIENJFFC是表示你而在服务器上设置SESSION("name")="name"完全可以看成是SESSION("IBOMFONAOJFEEBHBPIENJFFC")("name")="name"
或者
SESSION(SESSIONID)("name")="name"
这样,SESSION就区分开用户了。
而当服务器反馈这个ID的时候会看这个ID有没有被使用。如果有在换一个
反正不会让你重复,如果想模拟某人的SESSION的ID来进行欺骗是可以的。不过要获取到对方IE传输信号,并且在保证当时这个SESSIONID没有被取消的情况下才可能实施。不过要是我有那时间直接通过POST信号找他NAME和PASS了。我可不费这个劲,想必一些人明白了了SESSIONID到底是如何工作的,那么就在看看COOKIE,有人说SESSIONID就是COOKIE,按照技术上来讲他们不属于同类,但是属于一种工作模式,用户和服务器传输私有数据.当我设置COOKIE的时候,服务器会反馈给IE一个指令。IE通过这个网络指令生成COOKIE并存放,在特定的时候会取得这个这个信息如在访问这个站点并且COOKID有效的时候。那么为什么要用COOKIE而不用SESSION呢
看下区别有效时间以及存储方式 传输内容
COOKIE 可设置并在本地保留 明码信息SESSION 在IE不关闭并服务器不超时 只有SESSIONID当如果想让用户下次登入网站不需要输入用户名或者密码的时候就只能用COOKIE,因为他可以保留相当长的时间(在COOKIE记录被删除或者失效日期之前)而SESSION就不可以,他不会保留太长时间,而且IE在关闭后就自动清除了SESSIONID记录在下次登入的时候会请求新的SESSIONID而服务器想通过用户个人变量校验用户的状态的时候,就不能用COOKIE如果用设置用户权限是USER。而IE访问的时候就把USER的明码传输到服务器。那么如果我通过一定手段,比如直接修改COOKIE记录,把USER修改成ADMIN呢~~就麻烦了。但存储用户名和密码或者网站的配色方案这样的信息,用COOKIE是最好的
好,有点累了,在说说这个东西
Request.ServerVariables("HTTP_REFERER")我想有一些人通过这个Request.ServerVariables("HTTP_REFERER")
来进行一些关键性限制,特别是对付远程提交以及非法侵入。
那么我就要提醒下服务器取得的HTTP_REFERER信息完全是IE传输给服务器的,可以模拟
而且难度不大,用不到半个小时就可以用VB做出一个针对HTTP_REFERER入侵程序。
(可惜我原先那他没干正经事情,做WEB游戏挂机程序来的)附一个不错的回贴:------------------------------------------------------------------------------------------------------
COOKIE 是本地文件,是40大盗在阿里巴巴家做的记号,
或者是送牛奶的人在你家门口钉的箱子。
SESSION 是服务器端内存,是你洗澡时浴池发给你的钥匙。
自己专用,可以开自己的好多箱子。
APPLICATION 是公共浴池。
在这里能看见所有人,包括ppmm哦:)。
存储在客户端 存储在服务器端
两种类型 两种实现方式
有声明周期 依赖于cookie
无声明周期 url重写 response.encodeURL
conf目录下web.xml里规定了保存 Session的时间
父路径不能访问子路径的cookie 同一个session的窗口共享一个session
典型应用: 典型应用:
3个月不用再登陆 用户登陆
购物车 购物车也可以用session实现
不可靠 可靠
session 存储在服务器端
如果什么东西都往 session 里放的话,
那么运行的速度就会减慢,增加服务器的开销,
所以就搞出来了 Cookie
让数据存在 客户端
来减轻服务器的压力,
但是 cookie是不安全的,
客户也可以用 IE 禁止 cookie