2 Matching Annotations
  1. Oct 2018
  2. Aug 2018
    1. Cookie存储在浏览器中,对客户端是可见的,客户端的一些程序可能会窥探、复制以至修正Cookie中的内容。而Session存储在服务器上,对客户端是透明的,不存在敏感信息泄露的风险。

      cookie 是整个会话对象都放在客户端,很容易看到(base64 只是压缩,并不是加密)。 session 是整个会话对象都放在服务端,只有一个 session id 副本放在客户端的 cookie 里,所以就算有人偷到了 session id 冒充,也看不到会话信息。