Cookie详解

众所周知HTTP协议是面向连接，无状态的，那么如果服务器需要确认用户的身份怎么办呢，总不能每次请求都登录一次吧，所以cookie就起到了维护应用状态的作用。

浏览器每次向服务器发送请求时，都会带上cookie，以便服务器确认用户身份。

通常，cookie是和session一起使用的，由于如果直接在cookie存放用户的身份信息是不安全的，很容易被人恶意窃取，所以一般存储在cookie中的是sessionid，cookie携带着这个id传到服务器，服务器根据id去寻找对应的session存储区域，查找用户信息。

cookie主要由8部分组成：name value domain path expires/max-age size http secure

name和value就是对应数据的键值对。

domain是数据的所属域名，通过这个属性可以限制不同域名的网页对cookie的访问。

path规定了域名下可以访问这个cookie的路径，对应着url中的path，如果url中的path为“/”，那么这一域名下的cookie都可访问。

expires/max-age是cookie的过期时间，如果没有规定，那么在会话消失之后，这个cookie就会被销毁，对应值为Session

size对应着数据的大小

http表示这条cookie只有服务器端才能操作，客户端无法获取，这样可以防范XSS攻击。



浏览器向服务器发送请求时，cookie的形式为name1=value1;name2=value2;name3.......

那么，如果cookie被浏览器禁用了怎么办呢？还能确认用户身份吗？

答案是：可以。

方法1：url重写。

     通俗地讲，就是把sessionid写到请求的url的后边，比如：

      http://host:port/path;jsessionid=ByOK3vjFD75a12312312s8czxc8897xz9
方法2：表单隐藏字段

    就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。比如：<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>