本文轉自：http://www.cnblogs.com/japanbbq/archive/2011/08/31/2160494.html

Session:

Session是“會話”的意思，然而，因為http協議是無狀態的，那么每次客戶端請求服務器端，服務器端都會以“嶄新”的頁面展示給客戶端，這在靜態的html頁面中是不會存在任何影響，但是在動態頁面中，需要與用戶交互，要保持與客戶端用戶的聯系，則需要一些東西來保持，而Session的話，則是具有“保持狀態，保持會話”的能力。

注意的是，Session是保存在服務器端的。（Cookie是保存在客戶端的）需要注意的是，如果用戶突然關閉了客戶端頁面，那么Session就會丟失，即“會話丟失”。

服務器端創建session的三個步驟（網上參考）：

1. 生成全局唯一標識符（sessionid）；

2. 開辟數據存儲空間。一般會在內存中創建相應的數據結構，但這種情況下，系統一旦掉電，所有的會話數據就會丟失，如果是電子商務網站，這種事故會造成嚴重的后果。不過也可以寫到文件里甚至存儲在數據庫中，這樣雖然會增加I/O開銷，但session可以實現某種程度的持久化，而且更有利于session的共享；

3. 將session的全局唯一標示符發送給客戶端。

???? 問題的關鍵就在服務端如何發送這個session的唯一標識上。聯系到HTTP協議，數據無非可以放到請求行、頭域或Body里，基于此，一般來說會有兩種常用的方式：cookie和URL重寫。

1. Cookie（sessionid會保存在Cookie里，并且失效時間為0，就是瀏覽器進程的有效時間，如果關閉了瀏覽器，那么session就會失效，原理就是如此）

讀者應該想到了，對，服務端只要設置Set-cookie頭就可以將session的標識符傳送到客戶端，而客戶端此后的每一次請求都會帶上這個標識符，由于cookie可以設置失效時間，所以一般包含session信息的cookie會設置失效時間為0，即瀏覽器進程有效時間。至于瀏覽器怎么處理這個0，每個瀏覽器都有自己的方案，但差別都不會太大（一般體現在新建瀏覽器窗口的時候）；

2. URL重寫（平時網上url地址上有 ?sessionID=xxxx 字樣）

所謂URL重寫，顧名思義就是重寫URL。試想，在返回用戶請求的頁面之前，將頁面內所有的URL后面全部以get參數的方式加上session標識符（或者加在path info部分等等），這樣用戶在收到響應之后，無論點擊哪個鏈接或提交表單，都會在再帶上session的標識符，從而就實現了會話的保持。讀者可能會覺得這種做法比較麻煩，確實是這樣，但是，如果客戶端禁用了cookie的話，URL重寫將會是首選。

?

Session在ASP.Net的基本用法

定義的時候： Session["ddd"]=xxxx;

使用的時候：Session["ddd"]即可

如果需要保存類的對象的話，用法跟ViewState是一樣的：

發送端：

UserInfo ui = new UserInfo();?
Session["ui"] = ui;?
ui.name = name.Text;?
ui.age = age.Text;?
ui.sex = sex.Text;?
ui.password = password.Text;?
Response.Redirect("a.aspx");?

接收端：

UserInfo ui = Session["ui"] as UserInfo;?
name.Text = ui.name;?
age.Text = ui.age;?
password.Text = ui.password;?
sex.Text = ui.sex;

Session時間（銷毀方式：超時和手動銷毀）：

asp.net Session的默認時間設置是20分鐘，即超過20分鐘后,服務器會自動放棄Session信息.

Session Hijack （網上參考）：

Session hijack即會話劫持是一種比較嚴重的安全威脅，也是一種廣泛存在的威脅，在session技術中，客戶端和服務端通過傳送session的標識符來維護會話，但這個標識符很容易就能被嗅探到，從而被其他人利用，這屬于一種中間人攻擊。

Cookie

cookie的最大好處使用的就是"Remember Me"的服務。

cookie保存在客戶端，如果用戶禁用了cookie的話，可能會存在一些問題，所以在設計的時候要注意（判斷cookie是否為null）

需要cookie的原因跟需要session一樣，因為http協議是無狀態的，每次都是新的頁面，不會保存任何信息，而cookie的話，會保存在客戶端的電腦上，那么到時需要用的時候，可以利用后臺的服務器端調用，也可以就用客戶端來進行調用。

Cookie只是一段文本，所以它只能保存字符串。而且瀏覽器對它有大小限制以及它會隨著每次請求被發送到服務器，所以應該保證它不要太大。 Cookie的內容也是明文保存的，有些瀏覽器提供界面修改，所以，不適合保存重要的或者涉及隱私的內容。（網上參考）

?

Cookie的限制：

大多數瀏覽器支持最大為 4096 字節的 Cookie。由于這限制了 Cookie 的大小，最好用 Cookie 來存儲少量數據，或者存儲用戶 ID 之類的標識符。用戶 ID 隨后便可用于標識用戶，以及從數據庫或其他數據源中讀取用戶信息。瀏覽器還限制站點可以在用戶計算機上存儲的 Cookie 的數量。大多數瀏覽器只允許每個站點存儲 20 個 Cookie；如果試圖存儲更多 Cookie，則最舊的 Cookie 便會被丟棄。有些瀏覽器還會對它們將接受的來自所有站點的 Cookie 總數作出絕對限制，通常為 300 個。

Cookie中的屬性：（網上參考）

name: 每個cookie由一個唯一的名稱代表，這個名稱可以包含字母、數字、下劃線。cookie的名稱是不分大小寫，所以mycookie和MyCookie是一樣。但考慮到服務器端語言可能區分大小寫，建議定義和使用時還是區分大小寫。

value: 保存在cookie中的字符串值。這個值在存儲之前必須使用encodeURIComponent()對其進行編碼，以免丟失數據或占用了cookie。注意：cookie名字和值加起來的字節數不能超過4095字節，也即4KB。

domain: 出于安全考慮，網站不能訪問由其他域所創建的cookie。創建cookie以后，域的信息會作為cookie的一部分存儲下來。關于域，這里給一個例子，如http://ibm.com/foo/index.aspx, 它的域為：ibm.com。

path: cookie的另一個安全特征，限制對web服務器上特定目錄的訪問。即控制哪些訪問能觸發發送.例如請求的地址是上面的url,如果path=/foo,這個cookie就會被發送,但是path為其他的話,該cookie會被忽略。

expires: cookie的過期時間。

secure: 一個true/false值，用于表示cookie是否只能從安全網站（使用SSL和https協議的網站）中訪問。如果這個值被設置為true

Cookie的基本步驟：（網上參考）

瀏覽器對于Web服務器應答包頭中Cookie的操作步驟：

a. 從Web服務器的應答包頭中提取所有的cookie。

b. 解析這些cookie的組成部分（名稱，值，路徑等等）。

c. 判定主機是否允許設置這些cookie。允許的話，則把這些cookie存儲在本地。

瀏覽器對Web服務器請求包頭中所有的cookie進行篩選的步驟：

a. 根據請求的url和本地存儲cookie的屬性，判斷那些cookie能被發送給Web服務器。

b. 對于多個cookie，判定發送的順序。?
c. 把需要發送的cookie加入到請求http包頭中一起發送。

Cookie在ASP.Net中的基本用法：

發送端：

HttpCookie cookie = new HttpCookie("UserInfo");

cookie["name"] = name.Text;

cookie["age"] = age.Text;

cookie["sex"] = sex.Text;

cookie["language"] = language.Text;

cookie.Expires = DateTime.MaxValue;

Response.Cookies.Add(cookie);

Response.Redirect("cookie2.aspx");?

接收端：

HttpCookie cookie = Request.Cookies["UserInfo"];

if(cookie!=null)

{

name.Text = cookie["name"];?
age.Text = cookie["age"];?
language.Text = cookie["language"];?
sex.Text = cookie["sex"];

}

else

{?? }

最好在接收端上加上一個條件判斷，這樣則避免如果禁用了cookie，就不會導致出錯，也可以確定cookie是否存在。

Cookie的用途：

防止網上重復投票；?
通過cookie實現自動登陸?
單點登陸 ( Single Sign On, SSO)，是目前比較流行的企業業務整合的解決方案之一. 簡單的說, 就是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用于同一個用戶的登錄的機制。