新人想问个 cookie 和 session 的事

cookie 也是保存 session id 的一种方式。我想你可能有些地方没搞明白。。。

能。

1. session 数据不只可以存储在服务器端，也可以存储在客户端，比如 Rails 默认的 Session 存储方案就是存在一个加密的 Cookie 里的
2. 可以

由于 http 是无状态的，所以 session 的 ID 可以存在 cookie 中，也可以存在 LocalStorage 活着 SessionStorage，甚至是页面的隐藏字段。所谓的不安全分为两种，一是逻辑不安全，如果我们拿 cookie 中的数据直接作为我们逻辑的一部分，这部分数据是极容易被篡改的，所以我们通过 SessonId，拿服务端的数据作为逻辑的数据；二是 cookie 容易被 XSS ／ CSRF 攻击，虽然有同源策略的保护，现在较流行的方式是用 Token （ JWT ）来取代 cookie 的设计。

@guoyang 如果浏览器中使用 jwt 仍然需要将 token 放到 cookie 或者 localstorage 中，还是可能会被 XSS 或 CSRF

只用 cookie 就够了， 有 cookie 还用 session 是多此一举

@wentaoliu 所以 token 的设计中可以加 ip 加 useragent 或者尽量能够标示出 client 端的东西，跨站攻击本来就是泄漏，这个只能从源头控制。防护可以分两种，一是防用户本身，Xss 或者中间人攻击防的是第三者，token 防用户自身能够做的很好。token 本身的出发点并不是解决所有的安全问题

cookie 中的 sessionId 过期机制就是用来减弱 sessionId 被盗带来的影响

cookie 中的 sessionId 默认是禁止读取的