HTML常见面试、笔试题汇总
1.简述Session和Cookie的区别和优缺点
cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。
1.1 cookie
Cookie是一种发送到客户浏览器的文本串句柄,并保存在客户机硬盘上,可以用来在某个WEB站点会话间持久的保持数据。
一个用户的所有请求操作都应该属于同一个会话。
而web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。这时,cookie可以弥补HTTP协议无状态的不足。
给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个cookie。客户端浏览器会把cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该cookie一同提交给服务器。服务器检查该cookie,以此来辨认用户状态。服务器还可以根据需要修改cookie的内容。
有时可能对cookie进行SSL加密(SSL,secutiry socket layer,位于TCP/IP层之上,应用层之下)
类及属性
Java中把cookie封装成了javax.servlet.http.Cookie。每个cookie都是该cookie类的对象。服务器通过操作Cookie类对象对客户端Cookie进行操作。
cookie对象使用key-value属性对的形式保存用户状态。
string name 该cookie的名称。
object value 该cookie的值。
int maxAge 该cookie失效的时间。如果为正数,则该cookie在maxAge秒后失效;如果为负数,该Cookie为临时的cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该cookie。如果为0,表示删除该cookie。默认为-1;
string domain 可以访问该cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”
缺点:
Cookie数量和长度的限制。每个domain最多只能有20条Cookie,每个Cookie长度不能超过4KB,否则会被截掉。
安全性问题。如果cookie被人拦截了,那人就可以取得所有的session信息。即使加密也于事无补,因为拦截者并不需要知道cookie的意义,他只要原样转发cookie就可以达到目的了。
1.2 session
Session是服务器端使用的一种记录客户端状态的机制,使用上比cookie简单些,相应的也增加了服务器的存储压力。
客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是session。客户端浏览器在此访问时只需要从该session中查找该客户的状态就可以了。
如果说cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。
session对应的类为javax.servlet.http.httpservlet类。每个来访者对应一个session对象,所有该客户的状态信息都保存在这个session对象里。session对象是在客户端第一次请求服务器的时候创建的。session也是一种key-value的属性对。
session机制决定了当前客户只会获取到自己的session,而不会获取到别人的session。各客户的session也彼此独立,互不可见。
session的有效期
由于会有越来越多的用户访问服务器,因此session也会越来越多。为防止内存溢出,服务器会把长时间没有活跃的session从内存删除。这个时间就是session的超时时间。如果超过了超时时间没访问过服务器,session就自动失效了。
Session的优缺点:
优点
如果要在诸多Web页间传递一个变量,那么用Session变量要比通过QueryString传递变量可使问题简化。
可以在任何想要使用的时候直接使用session变量,而不必事先声明它,使用完毕后,也不必考虑将其释放,因为它将自动释放。
举例:当你登录一个网站的时候
如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话的sessionid,服务器根据当前sessionid判断相应的用户数据标志,以确定用户是否登录或具有某种权限。由于数据是存储在服务器上面,所以你不能伪造,但是如果你能够获取某个登录用户的 sessionid,用特殊的浏览器伪造该用户的请求也是能够成功的。sessionid是服务器和客户端链接时候随机分配的,一般来说是不会有重复,但如果有大量的并发请求,也不是没有重复的可能性.
如果浏览器使用的是cookie,那么所有的数据都保存在浏览器端,比如你登录以后,服务器设置了cookie用户名,那么当你再次请求服务器的时候,浏览器会将用户名一块发送给服务器,这些变量有一定的特殊标记。服务器会解释为cookie变量,所以只要不关闭浏览器,那么cookie变量一直是有效的,所以能够保证长时间不掉线。如果你能够截获某个用户的 cookie变量,然后伪造一个数据包发送过去,那么服务器还是认为你是合法的。所以,使用 cookie被攻击的可能性比较大。如果设置了的有效时间,那么它会将 cookie保存在客户端的硬盘上,下次再访问该网站的时候,浏览器先检查有没有 cookie,如果有的话,就读取该 cookie,然后发送给服务器。如果你在机器上面保存了某个论坛 cookie,有效期是一年,如果有人入侵你的机器,将你的 cookie拷走,然后放在他的浏览器的目录下面,那么他登录该网站的时候就是用你的的身份登录的。所以cookie是可以伪造的。当然,伪造的时候需要主意,直接copy cookie文件到 cookie目录,浏览器是不认的,他有一个index.dat文件,存储了 cookie文件的建立时间,以及是否有修改,所以你必须先要有该网站的 cookie文件,并且要从保证时间上骗过浏览器。
二者间不同:
①cookie数据存放在客户的浏览器上,session数据存放在服务器上。(位置)
②cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,如果主要考虑到安全应当使用session。所以:将登陆信息等重要信息存放在session;其他信息如果需要保留,可以放在cookie中。(安全性)
③session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,如果主要考虑到减轻服务器性能方面,应当使用cookie。(服务器性能)
④单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的cookie不能3K。(大小)
参考:http://blog.csdn.net/fangaoxin/article/details/6952954/