1.cookie保存在瀏覽器端，session保存在服務(wù)器端，但是為了區(qū)分不同的客戶端，服務(wù)器會(huì)在瀏覽器中發(fā)送一個(gè)對(duì)應(yīng)的sessionid保存到cookies中，下次瀏覽器請(qǐng)求服務(wù)器的時(shí)候會(huì)將sessionid一并發(fā)送給服務(wù)器。所以session機(jī)制依賴于cookie機(jī)制。

2.

csrf攻擊：cross site request forgery 跨站請(qǐng)求偽造

.

原理：

1.User(C)訪問信任網(wǎng)站W(wǎng)eb(A)，Web(A)會(huì)在User(C)處設(shè)置A的cookie；

2.User(C) 在沒有登錄A的情況下,訪問危險(xiǎn)網(wǎng)站W(wǎng)eb(B),B要求User(C)訪問Web(A);

3.User(C)在Web(B)的要求下，帶著Web(A)的cookie訪問Web(A)，這樣Web(B)就達(dá)到了模擬用戶操作的目的.

防御：

1.通過 referer、token 或者 驗(yàn)證碼 來檢測(cè)用戶提交。

2.盡量不要在頁(yè)面的鏈接中暴露用戶隱私信息。

3.對(duì)于用戶修改刪除等操作最好都使用post 操作 。

4.避免全站通用的cookie，嚴(yán)格設(shè)置cookie的域。