HTTP协议
明文
无内建的机密性安全机制
嗅探或代理截断可查看全部明文信息
https只能提高传输层安全
无状态
每一次客户端和服务器段的通信都是独立的过程
WEB应用需要跟踪客户端会话
不使用cookie的一个应用,客户端每次请求都要重新身份验证
Session用于在用户身份验证后跟踪用户行为轨迹
提高用户体验,但增加了攻击向量
通过cookie来实现跟踪 确定这个会话的所有权
类似门卡 通行证
cookie 基本上等同 Session ID cookie储存Session ID
Session 在服务器端
改Session ID 可以欺骗攻击
