Cookie/Session简介

Cookie简介

HTTP是一个基于请求与响应，无状态的，应用层的协议。
无状态:服务器不知道用户上一次做了什么·这严重阻碍了交互式Web应用程序的实现
Cookie:网站为了辨别用户身份，存储在用户本地终端上的数据，Cookie是由服务端生成的，发送给客户端(通
常是浏览器)的。
Cookie总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的。硬盘Cookie保存在硬盘里，有一个过期时间，除非用户手工清理或到了过期时间，硬盘Cookie不会被删除，其存在时间是长期的。

Cookie作用

Cookie的根本作用就是在客户端存储用户访问网站的一些信息·
1、记住密码，下次自动登录。
2、购物车功能
3、记录用户浏览数据，进行商品(广告)推荐
缺陷
1、Cookie会被附加在每个HTTP请求中，所以无形中增加了流量
2、由于在HTTP请求中的Cookie是明文传递的，所以安全性成问题。( 除非用HTTPS)
3、Cookie的大小限制在4KB左右·对于复杂的存储需求来说是不够用的。

Cookie工作原理

1、创建cookie
用户浏览网站网站服务器生成唯一识别码( cookie id )默认一般是会话级别的cookie，存储在浏览器内存中，将cookie放入到http响应报头，将Cookie插入到一个 Set-Cookie HTTP响应报头中
2、设置存储cookie
浏览器收到该响应报文之后，根据报文头里的Set-Cookied特殊的指示，生成相应的Cookie，保存在客户端·该Cookie里面记录着用户当前的信息
3、发送cookie
用户再次访问该网站时，浏览器首先检查所有存储的Cookies，如果存在某个该网站的Cookie，则把该cookie附在请求资源的HTTP请求头上发送给服务器。
4、读取cookie
服务器接收到用户的HTTP请求报文之后，从报文头获取到该用户的Cookie，从里面找到所需要的东西

Session简介

Session代表服务器与浏览器的一次会话过程，这个过程是连续的，也可以时断时续的·Session是一种服务器端的机制，Session 对象用来存储特定用户会话所需的信息
Session由服务端生成，保存在服务器的内存、缓存、硬盘或数据库中

Session作用

Session的根本作用就是在服务端存储用户和服务器会话的一些信息
1、判断用户是否登录
2、购物车功能

Session工作原理

当用户访问到一个服务器，如果服务器启用Session，服务器就要为该用户创建一个SESSION，并生成一个与此SESSION相关的SESSION ID，这个SESSIOND是唯一的、不重复的、不容易找到规律的字符串，这个SESSION ID将被在本次响应中返回到客户端保存，而保存这个SESSION ID的正是COOKIE·这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服条器

Cookie和Session的区别

1、存放位置不同
Cookie保存在客户端
Session保存在服务端
2、存取方式的不同
Cookie中只能保管ASCIl字符串，假如需求存取Unicode字符或者二进制数据，需求先进行编码
Session中能够存取任何类型的数据
3、安全性不同
Cookie存储在浏览器中，对客户端是可见的，客户端的一些程序可能会窥探、复制以至修正Cookie中的内容
Session存储在服务器上，对客户端是透明的，不存在敏感信息泄露的风险。

HTTPS简介

全称: Hyper Text Transfer Protocol over Secure Socket Layer，就是HTTP的安全版，再通俗点就是身披SSL外壳的HTTP。
HTTPS = HTTP+SSL/TLS
HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道·加密数据包·HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。

HTTP和HTTPS对比

实操

服务端会生成一个cookie

下一个请求包也是携带一样的cookie

观察HTTP响应头

我这边以google自带的网页工具让大家看清楚什么是请求头和响应头

Referer理解

先前网页的地址，当前请求网页紧随其后
这个www.baidu.com是我们之前的网址
通过BP 我们看到我们之前从这个网页访问到我们Refere这个网页里面的

改成www.baidu.com我们就得到正确答案

X-Forwarded-For理解

我们这边不上补上X-Forwarded-For:127.0.0.1 就可以获取key

User-Agent理解

这里我们看到User-Agent 检测到我们是从Chrome浏览器打开的电脑是windowsx64等信息 他网页获取iphone的 我们改成iphone即可获取key

Accept-Language理解

这里的是zh-cn是代表简体中文 Paskistan是巴基斯坦的

Cookie理解

这里我们可以看到login是用