我相信大家有很多時候分不清session跟cookies的使用，確實他們真的很像。

會話（Session）跟蹤是Web程式中常用的技術，用來跟蹤使用者的整個會話。常用的會話跟蹤技術是Cookie與Session。Cookie通過在客戶端記錄資訊確定使用者身份，Session通過在伺服器端記錄資訊確定使用者身份。

cookies篇。

Cookie技術是客戶端的解決方案，Cookie就是由伺服器發給客戶端的特殊資訊，而這些資訊以文字檔案的方式存放在客戶端，然後客戶端每次向伺服器傳送請求的時候都會帶上這些特殊的資訊。讓我們說得更具體一些：當用戶使用瀏覽器訪問一個支援Cookie的網站的時候，使用者會提供包括使用者名稱在內的個人資訊並且提交至伺服器；接著，伺服器在向客戶端回傳相應的超文字的同時也會發回這些個人資訊，當然這些資訊並不是存放在HTTP響應體（Response Body）中的，而是存放於HTTP響應頭（Response Header）；當客戶端瀏覽器接收到來自伺服器的響應之後，瀏覽器會將這些資訊存放在一個統一的位置，對於Windows作業系統而言，我們可以從： [系統盤]:\Documents and Settings[使用者名稱]\Cookies

在程式中，會話跟蹤是很重要的事情。理論上，一個使用者的所有請求操作都應該屬於同一個會話，而另一個使用者的所有請求操作則應該屬於另一個會話，二者不能混淆。例如，使用者A在超市購買的任何商品都應該放在A的購物車內，不論是使用者A什麼時間購買的，這都是屬於同一個會話的，不能放入使用者B或使用者C的購物車內，這不屬於同一個會話。

而Web應用程式是使用HTTP協議傳輸資料的。HTTP協議是無狀態的協議。一旦資料交換完畢，客戶端與伺服器端的連線就會關閉，再次交換資料需要建立新的連線。這就意味著伺服器無法從連線上跟蹤會話。即使用者A購買了一件商品放入購物車內，當再次購買商品時伺服器已經無法判斷該購買行為是屬於使用者A的會話還是使用者B的會話了。要跟蹤該會話，必須引入一種機制。

Cookie就是這樣的一種機制。它可以彌補HTTP協議無狀態的不足。在Session出現之前，基本上所有的網站都採用Cookie來跟蹤會話。

如果你把Cookies看成為http協議的一個擴充套件的話，理解起來就容易的多了，其實本質上cookies就是http的一個擴充套件。有兩個http頭部是專門負責設定以及傳送cookie的,它們分別是Set-Cookie以及Cookie。當伺服器返回給客戶端一個http響應資訊時，其中如果包含Set-Cookie這個頭部時，意思就是指示客戶端建立一個cookie，並且在後續的http請求中自動傳送這個cookie到伺服器端，直到這個cookie過期。如果cookie的生存時間是整個會話期間的話，那麼瀏覽器會將cookie儲存在記憶體中，瀏覽器關閉時就會自動清除這個cookie。另外一種情況就是儲存在客戶端的硬碟中，瀏覽器關閉的話，該cookie也不會被清除，下次開啟瀏覽器訪問對應網站時，這個cookie就會自動再次傳送到伺服器端。一個cookie的設定以及傳送過程分為以下四步：

客戶端傳送一個http請求到伺服器端 伺服器端傳送一個http響應到客戶端，其中包含Set-Cookie頭部 客戶端傳送一個http請求到伺服器端，其中包含Cookie頭部 伺服器端傳送一個http響應到客戶端

這個通訊過程也可以用以下下示意圖來描述：

在客戶端的第二次請求中包含的Cookie頭部中，提供給了伺服器端可以用來唯一標識客戶端身份的資訊。這時，伺服器端也就可以判斷客戶端是否啟用了cookies。儘管，使用者可能在和應用程式互動的過程中突然禁用cookies的使用，但是，這個情況基本是不太可能發生的，所以可以不加以考慮，這在實踐中也被證明是對的。

除了cookies,客戶端還可以將傳送給伺服器的資料包含在請求的url中，比如請求的引數或者請求的路徑中。 我們來看一個常規的http get 請求例子：

GET /index.php?foo=bar HTTP/1.1 Host: example.org

另外一種客戶端傳遞資料到伺服器端的方式是將資料包含在http請求的內容區域內。 這種方式需要請求的型別是POST的，看下面一個例子：

POST /index.php HTTP/1.1 Host: example.org Content-Type: application/x-www-form-urlencoded Content-Length: 7

foo=bar

在一個請求中，可以同時包含這兩種形式的資料：

POST /index.php?myget=foo HTTP/1.1 Host: example.orgContent-Type: application/x-www-form-urlencoded Content-Length: 11

mypost=bar

這兩種傳遞資料的方式，比起用cookies來傳遞資料更穩定，因為cookie可能被禁用，但是以GET以及POST方式傳遞資料時，不存在這種情況。我們可以將PHPSESSID包含在http請求的url中，就像下面的例子一樣：

GET /index.php?PHPSESSID=12345 HTTP/1.1 Host: example.org

什麼是Cookie

Cookie意為“甜餅”，是由W3C組織提出，最早由Netscape社群發展的一種機制。目前Cookie已經成為標準，所有的主流瀏覽器如IE、Netscape、Firefox、Opera等都支援Cookie。

由於HTTP是一種無狀態的協議，伺服器單從網路連線上無從知道客戶身份。怎麼辦呢？就給客戶端們頒發一個通行證吧，每人一個，無論誰訪問都必須攜帶自己通行證。這樣伺服器就能從通行證上確認客戶身份了。這就是Cookie的工作原理。

Cookie實際上是一小段的文字資訊。客戶端請求伺服器，如果伺服器需要記錄該使用者狀態，就使用response向客戶端瀏覽器頒發一個Cookie。客戶端瀏覽器會把Cookie儲存起來。當瀏覽器再請求該網站時，瀏覽器把請求的網址連同該Cookie一同提交給伺服器。伺服器檢查該Cookie，以此來辨認使用者狀態。伺服器還可以根據需要修改Cookie的內容。

檢視某個網站頒發的Cookie很簡單。在瀏覽器位址列輸入javascript:alert (document. cookie)就可以了（需要有網才能檢視）。JavaScript指令碼會彈出一個對話方塊顯示本網站頒發的所有Cookie的內容，如圖所示。

上圖中彈出的對話方塊中顯示的為Baidu網站的Cookie。其中第一行BAIDUID記錄的就是筆者的身份helloweenvsfei，只是Baidu使用特殊的方法將Cookie資訊加密了。

注意：Cookie功能需要瀏覽器的支援。如果瀏覽器不支援Cookie（如大部分手機中的瀏覽器）或者把Cookie禁用了，Cookie功能就會失效。不同的瀏覽器採用不同的方式儲存Cookie。IE瀏覽器會在“C:\Documents and Settings\你的使用者名稱\Cookies”資料夾下以文字檔案形式儲存，一個文字檔案儲存一個Cookie。

記錄使用者訪問次數

Java中把Cookie封裝成了javax.servlet.http.Cookie類。每個Cookie都是該Cookie類的物件。伺服器通過操作Cookie類物件對客戶端Cookie進行操作。通過request.getCookie()獲取客戶端提交的所有Cookie（以Cookie[]陣列形式返回），通過response.addCookie(Cookie cookie)向客戶端設定Cookie。

Cookie物件使用key-value屬性對的形式儲存使用者狀態，一個Cookie物件儲存一個屬性對，一個request或者response同時使用多個Cookie。因為Cookie類位於包javax.servlet.http.*下面，所以JSP中不需要import該類。

Cookie的不可跨域名性

很多網站都會使用Cookie。例如，Google會向客戶端頒發Cookie，Baidu也會向客戶端頒發Cookie。那瀏覽器訪問Google會不會也攜帶上Baidu頒發的Cookie呢？或者Google能不能修改Baidu頒發的Cookie呢？

答案是否定的。Cookie具有不可跨域名性。根據Cookie規範，瀏覽器訪問Google只會攜帶Google的Cookie，而不會攜帶Baidu的Cookie。Google也只能操作Google的Cookie，而不能操作Baidu的Cookie。

Cookie在客戶端是由瀏覽器來管理的。瀏覽器能夠保證Google只會操作Google的Cookie而不會操作Baidu的Cookie，從而保證使用者的隱私安全。瀏覽器判斷一個網站是否能操作另一個網站Cookie的依據是域名。Google與Baidu的域名不一樣，因此Google不能操作Baidu的Cookie。

需要注意的是，雖然網站images.google.com與網站www.google.com同屬於Google，但是域名不一樣，二者同樣不能互相操作彼此的Cookie。

注意：使用者登入網站www.google.com之後會發現訪問images.google.com時登入資訊仍然有效，而普通的Cookie是做不到的。這是因為Google做了特殊處理。本章後面也會對Cookie做類似的處理。

Unicode編碼：儲存中文

中文與英文字元不同，中文屬於Unicode字元，在記憶體中佔4個字元，而英文屬於ASCII字元，記憶體中只佔2個位元組。Cookie中使用Unicode字元時需要對Unicode字元進行編碼，否則會亂碼。

提示：Cookie中儲存中文只能編碼。一般使用UTF-8編碼即可。不推薦使用GBK等中文編碼，因為瀏覽器不一定支援，而且JavaScript也不支援GBK編碼。

BASE64編碼：儲存二進位制圖片

Cookie不僅可以使用ASCII字元與Unicode字元，還可以使用二進位制資料。例如在Cookie中使用數字證書，提供安全度。使用二進位制資料時也需要進行編碼。

注意：本程式僅用於展示Cookie中可以儲存二進位制內容，並不實用。由於瀏覽器每次請求伺服器都會攜帶Cookie，因此Cookie內容不宜過多，否則影響速度。Cookie的內容應該少而精。

設定Cookie的所有屬性

除了name與value之外，Cookie還具有其他幾個常用的屬性。每個屬性對應一個getter方法與一個setter方法。Cookie類的所有屬性如下所示。

String name：該Cookie的名稱。Cookie一旦建立，名稱便不可更改。 Object value：該Cookie的值。如果值為Unicode字元，需要為字元編碼。如果值為二進位制資料，則需要使用BASE64編碼。 int maxAge：該Cookie失效的時間，單位秒。如果為正數，則該Cookie在>maxAge秒之後失效。如果為負數，該Cookie為臨時Cookie，關閉瀏覽器即失效，瀏覽器也不會以任何形式儲存該Cookie。如果為0，表示刪除該Cookie。預設為–1。 boolean secure：該Cookie是否僅被使用安全協議傳輸。安全協議。安全協議有HTTPS，SSL等，在網路>上傳輸資料之前先將資料加密。預設為false。 String path：該Cookie的使用路徑。如果設定為“/sessionWeb/”，則只有contextPath為“/sessionWeb”的程式可以訪問該Cookie。如果設定為“/”，則本域名下contextPath都可以訪問該Cookie。注意最後一個字元必須為“/”。 >String domain：可以訪問該Cookie的域名。如果設定為“.google.com”，則所有以“google.com”結尾的域名都可以訪問該Cookie。注意第一個字元必須為“.”。 String comment：該Cookie的用處說明。瀏覽器顯示Cookie資訊的時候顯示該說明。 int version：該Cookie使>用的版本號。0表示遵循Netscape的Cookie規範，1表示遵循W3C的RFC 2109規範。

Cookie的有效期

Cookie的maxAge決定著Cookie的有效期，單位為秒（Second）。Cookie中通過getMaxAge()方法與setMaxAge(int maxAge)方法來讀寫maxAge屬性。 如果maxAge屬性為正數，則表示該Cookie會在maxAge秒之後自動失效。瀏覽器會將maxAge為正數的Cookie持久化，即寫到對應的Cookie檔案中。無論客戶關閉了瀏覽器還是電腦，只要還在maxAge秒之前，登入網站時該Cookie仍然有效。下面程式碼中的Cookie資訊將永遠有效。

如果maxAge為負數，則表示該Cookie僅在本瀏覽器視窗以及本視窗開啟的子視窗內有效，關閉視窗後該Cookie即失效。maxAge為負數的Cookie，為臨時性Cookie，不會被持久化，不會被寫到Cookie檔案中。Cookie資訊儲存在瀏覽器記憶體中，因此關閉瀏覽器該Cookie就消失了。Cookie預設的maxAge值為–1。

如果maxAge為0，則表示刪除該Cookie。Cookie機制沒有提供刪除Cookie的方法，因此通過設定該Cookie即時失效實現刪除Cookie的效果。失效的Cookie會被瀏覽器從Cookie檔案或者記憶體中刪除：

response物件提供的Cookie操作方法只有一個新增操作add(Cookie cookie)。要想修改Cookie只能使用一個同名的Cookie來覆蓋原來的Cookie，達到修改的目的。刪除時只需要把maxAge修改為0即可。

注意：從客戶端讀取Cookie時，包括maxAge在內的其他屬性都是不可讀的，也不會被提交。瀏覽器提交Cookie時只會提交name與value屬性。maxAge屬性只被瀏覽器用來判斷Cookie是否過期。

Cookie的修改、刪除

Cookie並不提供修改、刪除操作。如果要修改某個Cookie，只需要新建一個同名的Cookie，新增到response中覆蓋原來的Cookie。如果要刪除某個Cookie，只需要新建一個同名的Cookie，並將maxAge設定為0，並新增到response中覆蓋原來的Cookie。注意是0而不是負數。負數代表其他的意義。讀者可以通過上例的程式進行驗證，設定不同的屬性。

注意：修改、刪除Cookie時，新建的Cookie除value、maxAge之外的所有屬性，例如name、path、domain等，都要與原Cookie完全一樣。否則，瀏覽器將視為兩個不同的Cookie不予覆蓋，導致修改、刪除失敗。

Cookie的域名

Cookie是不可跨域名的。域名www.google.com頒發的Cookie不會被提交到域名www.baidu.com去。這是由Cookie的隱私安全機制決定的。隱私安全機制能夠禁止網站非法獲取其他網站的Cookie。

正常情況下，同一個一級域名下的兩個二級域名如www.helloweenvsfei.com和images.helloweenvsfei.com也不能互動使用Cookie，因為二者的域名並不嚴格相同。如果想所有helloweenvsfei.com名下的二級域名都可以使用該Cookie，需要設定Cookie的domain引數，例如：

讀者可以修改本機C:\WINDOWS\system32\drivers\etc下的hosts檔案來配置多個臨時域名，然後使用setCookie.jsp程式來設定跨域名Cookie驗證domain屬性。

注意：domain引數必須以點(".")開始。另外，name相同但domain不同的兩個Cookie是兩個不同的Cookie。如果想要兩個域名完全不同的網站共有Cookie，可以生成兩個Cookie，domain屬性分別為兩個域名，輸出到客戶端。

Cookie的路徑

domain屬性決定執行訪問Cookie的域名，而path屬性決定允許訪問Cookie的路徑（ContextPath）。例如，如果只允許/sessionWeb/下的程式使用Cookie，可以這麼寫：

設定為“/”時允許所有路徑使用Cookie。path屬性需要使用符號“/”結尾。name相同但domain不同的兩個Cookie也是兩個不同的Cookie。

注意：頁面只能獲取它屬於的Path的Cookie。例如/session/test/a.jsp不能獲取到路徑為/session/abc/的Cookie。使用時一定要注意。

1. domain表示的是cookie所在的域，預設為請求的地址，如網址為www.test.com/test/test.aspx，那麼domain預設為www.test.com。而跨域訪問，如域A為t1.test.com，域B為t2.test.com，那麼在域A生產一個令域A和域B都能訪問的cookie就要將該cookie的domain設定為.test.com；如果要在域A生產一個令域A不能訪問而域B能訪問的cookie就要將該cookie的domain設定為t2.test.com。

2. path表示cookie所在的目錄，預設為/，就是根目錄。在同一個伺服器上有目錄如下：/test/,/test/cd/,/test/dd/，現設一個cookie1的path為/test/，cookie2的path為/test/cd/，那麼test下的所有頁面都可以訪問到cookie1，而/test/和/test/dd/的子頁面不能訪問cookie2。這是因為cookie能讓其path路徑下的頁面訪問。

3. 瀏覽器會將domain和path都相同的cookie儲存在一個檔案裡，cookie間用*隔開。

Cookie的安全屬性

HTTP協議不僅是無狀態的，而且是不安全的。使用HTTP協議的資料不經過任何加密就直接在網路上傳播，有被截獲的可能。使用HTTP協議傳輸很機密的內容是一種隱患。如果不希望Cookie在HTTP等非安全協議中傳輸，可以設定Cookie的secure屬性為true。瀏覽器只會在HTTPS和SSL等安全協議中傳輸此類Cookie。下面的程式碼設定secure屬性為true：