客户端cookie和session的表现，session字段在cookie里边

浏览器对cookie和session的缓存

服务端对session的保存方法

依据运用习气有以下几点特性： 1. cookie数据寄存在客户的浏览器上，session数据放在服务器上； 2. cookie不是很安全，他人能够剖析寄存在本地的COOKIE并进行COOKIE诈骗考虑到安全应当使； 3. 用session。将登陆信息等重要信息寄存为SESSION，其他信息假如需求保存，能够放在COOKIE中，减轻服务端压力。 4. 单个cookie保存的数据不能超过4K，许多浏览器都约束一个站点最多保存20个cookie。 cookie的六米组的了解 setcookie(name,value,expire,path,domain,secure,httponly) 1. name和value字段自是不用多说，key-value键值对 2. expire规则了cookie的过期时刻 3. path从途径上指定了在恳求某个特定的url目录的时分需求发送cookie值到服务端 4. domain则从域名上指定了在拜访某个域的时分需求发送cookie值到服务端，默许便是发生cookie时分的域名，在大型的多子域名下的网站能够运用这个字段将domain设置成根域完成cookie同享。 5. secure特点则标明只有当一个恳求经过 SSL 或 HTTPS 创立时，包括 secure 选项的 cookie 才干被发送至服务器。这种 cookie 的内容具有很高的价值，假如以纯文本方法传递很有或许被篡改。 6. httponly设置成 TRUE，Cookie 仅可经过 HTTP 协议拜访。 这意思便是 Cookie 无法经过类似 JavaScript 这样的脚本语言拜访。 要有用削减 XSS进犯时的身份盗取行为，可主张用此设置（尽管不是一切浏览器都支撑），不过这个说法常常有争议。 PHP 5.2.0 中增加。 TRUE 或 FALSE 会话操控要害装备php.ini https://www.php.net/manual/en/session.security.ini.php 注意到会话中有一些装备和之前说到的cookie六米组有类似的当地，可是设置的当地纷歧样，session是经过php装备项直接办理，而cookie在运行时设定，经过set-cookie相应头反馈给客户端。 # 有用期 session.cookie_lifetime = 0 # 有用途径 session.cookie_path = / # 有用域 session.cookie_domail=... # httponly特点 session.cookie_httponly = 1 # 防护会话固定，避免session未初始化，默许是0不敞开，[https://wiki.php.net/rfc/strict_sessions](https://wiki.php.net/rfc/strict_sessions) session.use_strict_mode=0 # 是否安全传输，仅当运用https传输时才可拜访会话 session.cookie_secure = on # 表明SESSION技能的完成是否需求依靠COOKIE 1表明是 0表明否。假如敞开会话id将只在cookie中存储，避免了url传递会话的进犯。 session.use_only_cookies = 0 # 表明是否答应运用表单传值的方法传递PHPSESSID 0表明否 1表明是 session.use_trans_sid = 1 # session的散列函数 session.hash_function="sha256" 下面首要聊聊cookie和session常见的安全问题： 1. cookie字段未设置HttpOnly简单被DOM拜访，结合xss[1][2][3][4][5][6]黑客接单网