文章分享

滿多少次送1次  理發(fā)等 

Cookie:

HTTP協(xié)議本身是無狀態(tài)的，這與HTTP協(xié)議本來的目的是相符的，客戶端只需要簡單的向服務(wù)器請求下載某些文件，無論是客戶端還是服務(wù)器都沒有必要紀錄彼此過去的行為，每一次請求之間都是獨立的，好比一個顧客和一個自動售貨機或者一個普通的（非會員制）大賣場之間的關(guān)系一樣。 

然而聰明的人們很快發(fā)現(xiàn)如果能夠提供一些按需生成的動態(tài)信息會使web變得更加有用，就像給有線電視加上點播功能一樣。這種需求一方面迫使HTML逐步添加了表單、腳本、DOM等客戶端行為，另一方面在服務(wù)器端則出現(xiàn)了CGI規(guī)范以響應(yīng)客戶端的動態(tài)請求，作為傳輸載體的HTTP協(xié)議也添加了文件上載、cookie這些特性。其中cookie的作用就是為了解決HTTP協(xié)議無狀態(tài)的缺陷所作出的努力。至于后來出現(xiàn)的session機制則是又一種在客戶端與服務(wù)器之間保持狀態(tài)的解決方案。 

Cookies是作為HTTP傳輸?shù)念^信息的一部分發(fā)給客戶機的，所以向客戶機發(fā)送Cookies的代碼一般放在發(fā)送給瀏覽器的HTML文件的標記之前。

正統(tǒng)的cookie分發(fā)是通過擴展HTTP協(xié)議來實現(xiàn)的，服務(wù)器通過在HTTP的響應(yīng)頭中加上一行特殊的指示以提示瀏覽器按照指示生成相應(yīng)的cookie。然而純粹的客戶端腳本如JavaScript或者VBScript也可以生成cookie。 

而cookie的使用是由瀏覽器按照一定的原則在后臺自動發(fā)送給服務(wù)器的。瀏覽器檢查所有存儲的cookie，如果某個cookie所聲明的作用范圍大于等于將要請求的資源所在的位置，則把該cookie附在請求資源的HTTP請求頭上發(fā)送給服務(wù)器。

由于Cookies的信息并不都是以文件形式存放在計算機里，還有部分信息保存在內(nèi)存里。比如你在瀏覽網(wǎng)站的時候，Web服務(wù)器會自動在內(nèi)存中生成Cookie，當你關(guān)閉IE瀏覽器的時候又自動把Cookie刪除

默認情況下，如果在某個頁面創(chuàng)建了一個cookie，那么該頁面所在目錄中的其他頁面也可以訪問該cookie。如果這個目錄下還有子目錄，則在子目錄中也可以訪問。

例如在www.xxxx.com/html/a.html中所創(chuàng)建的cookie，可以被www.xxxx.com/html/b.html或www.xxx.com/ html/some/c.html所訪問，但不能被www.xxxx.com/d.html訪問。 

語法如下： document.cookie="name=value; path=cookieDir"; 其中cookieDir表示可訪問cookie的目錄。

例如： document.cookie="userId=320; path=/shop"; 就表示當前cookie僅能在shop目錄下使用。 如果要使cookie在整個網(wǎng)站下可用，可以將cookie_dir指定為根目錄，例如： document.cookie="userId=320; path=/"; 

hosts文件實際上可以看成一個本機的DNS系統(tǒng)，它可以負責(zé)把域名解釋成IP地址，它的優(yōu)先權(quán)比DNS服務(wù)器要高，它的具體實現(xiàn)是TCP/IP協(xié)議中的一部分。

一、cookie機制和session機制的區(qū)別

***********************************************************************

具體來說cookie機制采用的是在客戶端保持狀態(tài)的方案，而session機制采用的是在服務(wù)器端保持狀態(tài)的方案。

同時我們也看到，由于服務(wù)器端保持狀態(tài)的方案在客戶端也需要保存一個標識，所以session機制可能需要借助于cookie機制來達到保存標識的目的，但實際上還有其他選擇

二、會話cookie和持久cookie的區(qū)別

***********************************************************************

如果不設(shè)置過期時間，則表示這個cookie生命周期為瀏覽器會話期間，只要關(guān)閉瀏覽器窗口，cookie就消失了。這種生命期為瀏覽會話期的cookie被稱為會話cookie。會話cookie一般不保存在硬盤上而是保存在內(nèi)存里。

　　如果設(shè)置了過期時間，瀏覽器就會把cookie保存到硬盤上，關(guān)閉后再次打開瀏覽器，這些cookie依然有效直到超過設(shè)定的過期時間，如果過了此期限Cookies就自動被刪除。

　　存儲在硬盤上的cookie可以在不同的瀏覽器進程（注意不是不同的瀏覽器）間共享，比如兩個IE窗口。而對于保存在內(nèi)存的cookie，不同的瀏覽器有不同的處理方式。

三、cookie如何解決快瀏覽器共享?

就是在IE里瀏覽器一個網(wǎng)站存了一些cookie，如何在別的瀏覽器再次打開這個網(wǎng)站還能去讀到這些cookie.

cookie多瀏覽器實際上也是cookie跨域解決方案的范疇。

可通過cookie + JSONP來實現(xiàn)

cookies屬于隱私數(shù)據(jù)，不同瀏覽器保存在不同地方。不可能共享的。

再說了市面上也基本見不到跨瀏覽器共享cookie的網(wǎng)站

在同一個瀏覽器中，打開不同的網(wǎng)站可以讀取cookie是可以實現(xiàn)的，也就是所謂的跨域訪問cookie

那個應(yīng)該叫跨瀏覽器訪問cookie 而不是跨域

跨域的概念是： b域試圖訪問a域下的資源。

你用firefox打開的web.qq.com, 難道用ie或者chrome代開的難道不是這個域名了

存儲和跟蹤用戶數(shù)據(jù)的方式不僅現(xiàn)于cookie， 比如可以記住你的ip， 或者讓上所說使用flash

大概搜索了下 沒找到所謂的跨瀏覽器操作cookie

Session:

 session機制是一種服務(wù)器端的機制，服務(wù)器使用一種類似于散列表的結(jié)構(gòu)（也可能就是使用散列表）來保存信息。 

 當程序需要為某個客戶端的請求創(chuàng)建一個session的時候，服務(wù)器首先檢查這個客戶端的請求里是否已包含了一個session標識 - 稱為session id，如果已包含一個session id則說明以前已經(jīng)為此客戶端創(chuàng)建過session，服務(wù)器就按照session id把這個session檢索出來使用（如果檢索不到，可能會新建一個），如果客戶端請求不包含session id，則為此客戶端創(chuàng)建一個session并且生成一個與此session相關(guān)聯(lián)的session id，session id的值應(yīng)該是一個既不會重復(fù)，又不容易被找到規(guī)律以仿造的字符串，這個session id將被在本次響應(yīng)中返回給客戶端保存。 

Session是什么

HTTP協(xié)議是一種無狀態(tài)的協(xié)議，用戶通過瀏覽器訪問服務(wù)端的每次請求都是相互獨立的，服務(wù)端無法直接通過HTTP請求來判斷上次請求的用戶和本次請求的用戶是否是同一人，當然，你可以使用Cookie來傳遞用戶狀態(tài)的標識，但是每次發(fā)起請求都必須來回傳遞這些Cookie數(shù)據(jù)，為了實現(xiàn)更多的狀態(tài)跟蹤，傳遞的Cookie數(shù)據(jù)會越來越多，這無形中增加了瀏覽器與服務(wù)端的數(shù)據(jù)傳輸?shù)膲毫蛷?fù)雜性，Cookie的大小不僅有限制，而且這種方式是不安全的，容易被盜取和篡改，然而session的出現(xiàn)正解決了這些問題。session是存儲于服務(wù)端的、用于記錄和保持某些狀態(tài)的一種會話跟蹤技術(shù)。用戶通過瀏覽器發(fā)起請求的時候，不用每次都回傳所有的Cookie值了，只要回傳一個key-value的鍵值對就可以了，一般情況下這個key為JSESIONID，value為客戶端第一次訪問服務(wù)端時生成的唯一值，這個value可以標識和跟蹤用戶的會話信息，這個value在服務(wù)端被習(xí)慣稱作sessionId。

如何實現(xiàn)保持會話

正常情況下，用戶第一次通過瀏覽器請求服務(wù)端的時候是沒有value的，此時服務(wù)端會通過request.getSession()方法創(chuàng)建一個HttpSession對象，并給它設(shè)置一個有效期，然后將這個對象存儲在sessions的容器中，同時會把sessionId返回給瀏覽器端。如果用戶再次發(fā)起請求，服務(wù)端在解析得到sessionId后，會判斷sessionId對應(yīng)的HttpSession是否存在，如果不存在，會創(chuàng)建一個HttpSession對象，并將這個對象存儲在sessions的容器中，同時會把sessionId返回給瀏覽器端；如果存在，將可以得到對應(yīng)的HttpSession對象，這個HttpSession對象可以存儲很多狀態(tài)或表示數(shù)據(jù)，如session.setAttribute()，從而實現(xiàn)會話跟蹤。

session對象都有一個有效期，一般情況下，應(yīng)用容器都會有一個后臺線程用于檢查每個session是否失效，如果失效將會被清除。而值得注意的是，調(diào)用request.getSession()時會檢查對應(yīng)的session對象是否過期，如果過期將會創(chuàng)建一個新session對象。

在應(yīng)用容器重啟或關(guān)閉的時候，未過期的session對象會被持久化到一個SESSIONS.ser文件中，當應(yīng)用容器再次啟動的時候，會重新讀取SESSIONS.ser中所有未過期的session對象，并將它們存儲到sessions集合中。一個應(yīng)用服務(wù)器存儲一套session數(shù)據(jù)。

一、保存session id的幾種方式

1、cookie，這樣在交互過程中瀏覽器可以自動的按照規(guī)則把這個標識發(fā)揮給服務(wù)器。一般這個cookie的名字都是類似于SEEESIONID，而。比如weblogic對于web應(yīng)用程序生成的cookie，JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764，它的名字就是JSESSIONID。

2、由于cookie可以被人為的禁止，必須有其他機制以便在cookie被禁止時仍然能夠把session id傳遞回服務(wù)器，經(jīng)常被使用的一種技術(shù)叫做URL重寫，就是把session id直接附加在URL路徑的后面。

附加方式也有兩種，

一種是作為URL路徑的附加信息，表現(xiàn)形式為http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 

另一種是作為查詢字符串附加在URL后面，表現(xiàn)形式為http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 

這兩種方式對于用戶來說是沒有區(qū)別的，只是服務(wù)器在解析的時候處理的方式不同，采用第一種方式也有利于把session id的信息和正常程序參數(shù)區(qū)分開來。 

為了在整個交互過程中始終保持狀態(tài)，就必須在每個客戶端可能請求的路徑后面都包含這個session id。 

3、另一種技術(shù)叫做表單隱藏字段。就是服務(wù)器會自動修改表單，添加一個隱藏字段，以便在表單提交時能夠把session id傳遞回服務(wù)器。比如下面的表單： 

   <form name="testform" action="/xxx"> 

<input type="text"> 

    </form> 

    在被傳遞給客戶端之前將被改寫成： 

    <form name="testform" action="/xxx"> 

<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 

<input type="text"> 

    </form> 

    這種技術(shù)現(xiàn)在已較少應(yīng)用，很古老的iPlanet6(SunONE應(yīng)用服務(wù)器的前身)就使用了這種技術(shù)。 

實際上這種技術(shù)可以簡單的用對action應(yīng)用URL重寫來代替。 

二、session什么時候被創(chuàng)建

一個常見的錯誤是以為session在有客戶端訪問時就被創(chuàng)建，然而事實是直到某server端程序(如Servlet)調(diào)用HttpServletRequest.getSession(true)這樣的語句時才會被創(chuàng)建。

注意如果JSP沒有顯示的使用 <%@page session="false"%> 關(guān)閉session，則JSP文件在編譯成Servlet時將會自動加上這樣一條語句HttpSession session = HttpServletRequest.getSession(true);這也是JSP中隱含的session對象的來歷。

三、session何時被刪除

session在下列情況下被刪除：

A．程序調(diào)用HttpSession.invalidate()

B．距離上一次收到客戶端發(fā)送的session id時間間隔超過了session的最大有效時間

C．服務(wù)器進程被停止

再次注意關(guān)閉瀏覽器只會使存儲在客戶端瀏覽器內(nèi)存中的session cookie失效，不會使服務(wù)器端的session對象失效。

四、是否只要關(guān)閉瀏覽器，session就消失了

程序一般都是在用戶做login off的時候發(fā)個指令去刪除session，然而瀏覽器從來不會主動在關(guān)閉之前通知服務(wù)器它將要被關(guān)閉，因此服務(wù)器根本不會有機會知道瀏覽器已經(jīng)關(guān)閉。服務(wù)器會一直保留這個會話對象直到它處于非活動狀態(tài)超過設(shè)定的間隔為止。

之所以會有這種錯誤的認識，是因為大部分session機制都使用會話cookie來保存session id，而關(guān)閉瀏覽器后這個session id就消失了，再次連接到服務(wù)器時也就無法找到原來的session。

如果服務(wù)器設(shè)置的cookie被保存到硬盤上，或者使用某種手段改寫瀏覽器發(fā)出的HTTP請求報頭，把原來的session id發(fā)送到服務(wù)器，則再次打開瀏覽器仍然能夠找到原來的session。

恰恰是由于關(guān)閉瀏覽器不會導(dǎo)致session被刪除，迫使服務(wù)器為session設(shè)置了一個失效時間，當距離客戶上一次使用session的時間超過了這個失效時間時，服務(wù)器就可以認為客戶端已經(jīng)停止了活動，才會把session刪除以節(jié)省存儲空間。

由此我們可以得出如下結(jié)論：

　　關(guān)閉瀏覽器，只會是瀏覽器端內(nèi)存里的session cookie消失，但不會使保存在服務(wù)器端的session對象消失，同樣也不會使已經(jīng)保存到硬盤上的持久化cookie消失。

五、打開兩個瀏覽器窗口訪問應(yīng)用程序會使用同一個session還是不同的session

通常session cookie是不能跨窗口使用的，當你新開了一個瀏覽器窗口進入相同頁面時，系統(tǒng)會賦予你一個新的session id，這樣我們信息共享的目的就達不到了。

此時我們可以先把session id保存在persistent cookie中(通過設(shè)置session的最大有效時間)，然后在新窗口中讀出來，就可以得到上一個窗口的session id了，這樣通過session cookie和persistent cookie的結(jié)合我們就可以實現(xiàn)了跨窗口的會話跟蹤。

==============================================================

今天在測試Ticket時，發(fā)現(xiàn)原來保存的Cookie莫名其妙的就被清除了，自己沒有做過任何的改動。經(jīng)開發(fā)人員Allon推斷，應(yīng)該是Cookie數(shù)量達到了瀏覽器的限制。

網(wǎng)上查找出來的結(jié)果是：

一、瀏覽器允許每個域名所包含的cookie數(shù)：

　　Microsoft指出InternetExplorer8增加cookie限制為每個域名50個，但IE7似乎也允許每個域名50個cookie。

　　Firefox每個域名cookie限制為50個。

　　Opera每個域名cookie限制為30個。

　　Safari/WebKit貌似沒有cookie限制。但是如果cookie很多，則會使header大小超過服務(wù)器的處理的限制，會導(dǎo)致錯誤發(fā)生。

　　注：“每個域名cookie限制為20個”將不再正確！

二、當很多的cookie被設(shè)置，瀏覽器如何去響應(yīng)。

　　除Safari（可以設(shè)置全部cookie，不管數(shù)量多少），有兩個方法：

　　最少最近使用（leastrecentlyused(LRU)）的方法：當Cookie已達到限額，自動踢除最老的Cookie，以使給最新的Cookie一些空間。Internet Explorer和Opera使用此方法。

　　Firefox很獨特：雖然最后的設(shè)置的Cookie始終保留，但似乎隨機決定哪些cookie被保留。似乎沒有任何計劃（建議：在Firefox中不要超過Cookie限制）。

三、不同瀏覽器間cookie總大小也不同：

　　Firefox和Safari允許cookie多達4097個字節(jié)，包括名（name）、值（value）和等號。

　　Opera允許cookie多達4096個字節(jié)，包括：名（name）、值（value）和等號。

　　Internet Explorer允許cookie多達4095個字節(jié)，包括：名（name）、值（value）和等號。

      注：多字節(jié)字符計算為兩個字節(jié)。在所有瀏覽器中，任何cookie大小超過限制都被忽略，且永遠不會被設(shè)置。