HTTP协议基础
明文
无内建的机密性安全机制
嗅探或代理截断可查看去全部的明文信息
https只能提高传输层安全
无状态
每一次客户端和服务器端的通信都是独立的过程
WEB应用需要跟踪客户端会话
如果不适用cookie,客户端每次请求都要冲刺你进行身份验证
session用于在身份验证后跟踪用户行为轨迹
虽然提高了用户体验但是增加了攻击量
服务器端会给客户端一个cookie ,而客户端每次请求的时候都会携带这个cookie 使服务器端能够识别客户端的身份。
cookie 跟session id 基本等同 cookie当中可以存放session id
session是放在服务器端的 客户端拿到的是session id
