禁止了瀏覽器 cookie，session 還可以用嗎？

01-09

瀏覽器禁止了 cookie， session 還可以用嗎？

Session是用戶會話，那麼要實現用戶會話，伺服器端應該有個儲存會話信息的程序存在。

Session的服務端服務實現由很多種，常見有磁碟文件保存（PHP默認方式，會阻塞）、MySQL（Discuz! 的自己的實現方式）、Memcached（性能較高的一種實現）、Redis。

大致原理就是儲存一個獨一無二的用戶令牌（這裡暫且稱為SessionID吧）和令牌對應的用戶數據，例如這樣：

SessionID | UserID 1A6B78E7 | 195 B6SE3C66 | 0 (默認，未登陸狀態) E135C338 | 131 （用戶將賬號密碼驗證碼和SessionID發回伺服器後，將UserID改為用戶主鍵值）

客戶端要實現Session就需要從服務端獲取一個SessionID（服務端可以用一個meta tag把SessionID發到客戶端，客戶端用js獲取，方法簡直不要太多），永久性或半永久性地保存在本地（起碼不能再開一次網頁，會話就沒了），每次訪問需要Session的頁面，就將SessionID發出。

想到這裡，難點就只有兩個了，保存和發送。主要難點是前者。

前面有人提到的URL傳參但沒有提到保存方式，永久性或半永久性地儲存，除了Cookie外還有什麼呢？Etag單頁有效並且緩存容易被衝掉，想了想，HTML5新增的LocalStorage就可實現近乎永久性的保存。（IE 8+）

解決了客戶端接收和儲存這個問題，那麼發出SessionID就簡單了：

1、前端模板實現的全非同步網站，在需要SessionID的請求時，使用：

xhr.setRequestHeader("X-SessionID-Header", "B6SE3C66");

這樣就實現了SessionID的收發。

2、非非同步網站，粗暴的做法可以讓JS可以遍歷所有a標籤，判斷host，如果非跨域，則為其href指向鏈接追加SessionID參數，同樣實現了收發。當然也還有更加精細的做法。

LocalStorage雖然不如Cookie方便，相對於Cookie來說也是有一定好處的，同域的所有頁面請求都會附加上同個Cookie，這會影響載入速度，很多網站的靜態資源都另外使用了一個域名一部分原因就是這個。LocalStorage的令牌發送是可控的，Cookie的發送是不可控的。

早幾年還沒LocalStorage的時候，我還見過有人在Cookie里保存本地草稿，提交前操作Cookie清除草稿。

這兩個東西功能上可以說有些類似，因此一定程度上可以互相替代。

可以。可以在url中傳遞sessionID。但是需要你在php.ini裡面開啟一個選項，就是允許在url中存在sessionID。

session 是什麼？

伺服器生成的一個 shit 值，甩給客戶端，客戶端拿著當金牌令箭，只要客戶端有辦法把這個金牌令箭告知伺服器就好了。

在這樣的情況下，你怎麼傳遞這個金牌令箭，就看你的個人喜好了。

在這樣的認知下，你應該知道，怎樣使用 session 技術僅看你客戶端和伺服器溝通的方式，什麼 get post shit 隨你喜好了

所以說，學東西要多想想為什麼、這樣做的原因是什麼？好處是什麼？不這麼做會怎樣？有沒有更好的設計方案？

特別是搞 web 的，不能連我這個沒搞過 web 的人都不如。

可以，在每條url中都加上session欄位，這種做法現在在很多老式WAP網站上依然能夠見到，因為當時的具有WAP瀏覽器的手機因為內存小的可憐無法存儲cookie。還有一種辦法就是每個頁面都加一個hidden隱藏域，value寫上session，總之方法很多，靈活變通。

ETag 已經是最要臉的追蹤手段了好嗎。。。

試試 authentication cookie

&<br /> </code></pre> <p>還有 evercookie</P></p> <p><center> <script src="/336-3.js"></script></center></p> <hr />最簡單的辦法，重新定向</P>登陸之後網址變成http://www.xxx.com/？session=xxxxxxxxxxxxxxxx</P>還有一個就是用戶再次點擊的問題，以前的方法是查找所有a href，form修改，這個太麻煩了。</P>其實用referer就好了，在nginx里判斷referer有沒有session，然後處理下，應用代碼可以不做任何修改。</P>還有這種方式容易泄露，可以跟ip，agent綁定，即session記錄操作的ip，如果ip，瀏覽器變了就重新生成session</P></p> <hr /><P>這是我今天學Servlet寫的筆記, 剛好看見這個問題給你扒一點出來</P>剛接觸Web開發不到四天</P>理解可能有偏差, 輕噴</P>(筆記中說的身份證是SessionID號)</P><P>第一: Session是什麼?</P></p> <p><center> <script src="/336-4.js"></script></center></p> <p></P><P style="text-align:center;"><P style="text-align:center;"><img src="//i1.wp.com/pic4.zhimg.com/50/268dbf356f6fa2998cb1d972199b38b6_hd.jpg" dw="598" dh="740" w="598" data-original="https://pic4.zhimg.com/268dbf356f6fa2998cb1d972199b38b6_r.jpg"></P></P>第二: 瀏覽器禁用了Cookie的話, 怎麼辦?</P><P style="text-align:center;"><P style="text-align:center;"><img src="//i1.wp.com/pic3.zhimg.com/50/d9d06ebfd4388a3255c0d6dc27de2e77_hd.jpg" dw="600" dh="572" w="600" data-original="https://pic3.zhimg.com/d9d06ebfd4388a3255c0d6dc27de2e77_r.jpg"></P></P></P></p> <hr /><P>我只是補充一下：我年輕的時候做一個中國移動的論壇項目，能直接從WAP網關拿到當前請求的手機號，用來當session key再好不過了。</P>總結一下：</P>1 cookie</P></p> <p><center> <script src="/336-5.js"></script></center></p> <p>2 請求的參數中帶著（get、post）</P>3 HTML5的LocalStorage</P>4 網關</P></p> <hr /><P>Session要用Cookie來維持，大部分網站伺服器默認策略就是用Cookie。</P><P>從客戶的角度來說。現在的瀏覽器，禁用Cookie其實不是完全禁用，只是失去了Cookie「持久化」的這個作用，大致可以理解為關閉窗口時清除Cookie。所以這種瀏覽器即使禁用了Cookie，照樣可以登錄網站。</P><P>對於不支持Cookie的「瀏覽器」，比如curl（不加-b，-c參數的時候），這個特性不會告訴伺服器。伺服器還是會發Set-Cookie的Header，只是客戶端忽略，那每次訪問伺服器都是一個新的Session，伺服器沒法和舊的Session關聯上。</P>從伺服器的角度來說，如果你覺得你的用戶的瀏覽器可能很舊，那麼你可以同時使用Cookie，表單，URL帶上用戶的Session，以防萬一么。</P></p> <hr />session池是服務端存儲用戶(廣義上的用戶，可以是用戶也可以是某個客戶端非登錄用戶)的信息的集合，每個session都對應一個用戶信息，cookie是客戶端用來告知服務端，我是哪一個用戶，那麼既然cookie承擔了這麼一個功能，那麼cookie的職責一旦被禁用，那麼url也可以承擔起同樣的責任，url後面加</P>參數，或者http頭加信息來回傳，但是如果cookie的職責這麼容易被替代的話，那他就不叫cookie了，如果說當次請求可以被替代，那麼下一次比如你直接打開瀏覽器請求淘寶網的時候或者直接手輸，不是使用cookie的話,其他的辦法的話，客戶端是不能拿出標誌你身份的東西，從而服務端並不知道你是誰。如果說瀏覽器在請求一個手輸的網址的時候，除了自動帶上cookie,還會帶其他小東西，那麼這個小東西能替代cookie,關於這一點開下chrome，觀察下network下面的http請求頭即可，我並沒有發現這樣的小東西。就憑這一點cookie還是cookie.</P></p> <hr /><P><b>可以的。</b></P></p> <p><center> <script src="/336-5.js"></script></center></p> <p><P><b>session定義(來源API文檔)</b></P></p> <blockquote><p>Provides a way to identify a user across more than one page request or visit to a Web site and to store information about that user.</p></blockquote> <p><P>【譯文】：為用戶識別多個頁面請求或訪問Web站點，並存儲有關該用戶的信息提供一種方法。</P></p> <h2>session的實現方式有兩種</h2> <p><P>第一種：通過cookies實現。如果瀏覽器支持cookies，創建session的時候會把sessionID放在 cookies裡面；</P><P>第二種：通過重寫URL。如果瀏覽器不支持cookies，可以自己編程使用URL重寫的方式實現session（訪問頁面的時候在地址欄裡面，URL後會跟上sessionID，效果見展示圖2）。</P></p> <h2><b>下面做實驗驗證第二種</b>session的實現方式<b>：</b></h2> <p><P><b><i>前提：我的cookies狀態是禁用的。</i></b></P><P>通過重寫URL實現session的核心代碼如下：</P><P><code class="language-text">out.println("&<br&>&< a href=" + response.encodeURL( "SessionInfoServlet") + ">refresh&</ a&>");<br /> </code></pre> <p><P><b>演示對比(細節在圖中用紅色箭頭標註)：</b></P></p> <ul> <li><b>第一次訪問</b>頁面結果如圖：</li> </ul> <p><P style="text-align:center;"><P style="text-align:center;"><img src="//i1.wp.com/pic3.zhimg.com/50/v2-adfb6081d471d0709f620a6e20a99829_hd.jpg" data-caption="" data-size="normal" dw="452" dh="427" w="452" data-original="https://pic3.zhimg.com/v2-adfb6081d471d0709f620a6e20a99829_r.jpg"></P></P></p> <ul> <li>通過refresh來刷新，<b>再次訪問</b>本頁面效果如下圖：</li> </ul> <p><P style="text-align:center;"><P style="text-align:center;"><img src="//i1.wp.com/pic3.zhimg.com/50/v2-dd98f4c433febb9af58092facbea0913_hd.jpg" data-caption="" data-size="normal" dw="804" dh="407" w="804" data-original="https://pic3.zhimg.com/v2-dd98f4c433febb9af58092facbea0913_r.jpg"></P></p> <p><center> <script src="/336-5.js"></script></center></p> <p></P></P></p> <hr /><P>當然可以用了；這個問題你首先要只要session的存儲方式，session不是只可以通過cookie存儲的啊，還可以通過url重寫的方式實現sessionId的存儲，然後提交給後台。</P><P>詳細的介紹:楊挺的博客 | Tommy#x27;s Blog</P><P>裡面有相應的code介紹。</P><P>有任何問題可以指出。</P></P></p> <hr />如果你看了朴靈的深入淺出nodejs，可以通過查詢字元串實現瀏覽器端和伺服器端數據的映射，不過這個做法會暴露sessionID，風險較大。</P></p> <hr />反寫sessionId</P></p> <hr />雖然有很多方式。但應該沒有比cookie更方便了，大多網站估計禁用cookie後都無法持久會話了</P></p> <p><center> <script src="/336-5.js"></script></center></p> <hr />之前面試有遇到過，服務端生成sessionid給客戶端，不用存cookie也是可以的</P></p> <hr />可以</P></p> <p><center> <script src="/336-5.js"></script></center></p> <hr /><span style="color:red"><i class="fa fa-paper-plane"></i></span> 推薦閱讀：</div> <p>※<a target=_blank href=/p20180109733732913/>有哪些好的wordpress中文主題原創作者？</a><br />※<a target=_blank href=/p20180109629976558/>如何評價這篇文章中稱 WordPress 將用 Node.js 來重寫?</a><br />※<a target=_blank href=/p20180108138960915/>php curl抓取不到頁面及來路問題？</a><br />※<a target=_blank href=/p20180108323643061/>PHP, Python, Node.js 哪個比較適合寫爬蟲？</a><br />※<a target=_blank href=/p20180108868280078/>28歲轉行，決定入坑IT崗位，短期幾個月先學習哪個方向合適？</a></p> <p>TAG:<a target=_blank href=/tag/Web開發/>Web開發</a> | <a target=_blank href=/tag/PHP/>PHP</a> | </p> <div class="at-below-post addthis_tool" data-url="https://www.getit01.com/p20180109635307626/"></div></div> <script src="/ce.js"></script> <div class="clear"></div> </div> </div> <div class="clear"></div> </div> </div> <div class="clear"></div> <div id="footer"> <div class="copyright"> <p> 一點新知 <a href="https://www.getit01.com/"><strong> GetIt01 </strong></a> <div style="display:none"><script src="https://s13.cnzz.com/z_stat.php?id=1270562218&web_id=1270562218" language="JavaScript"></script></div> <br /> </p> </div> </div> </div>  <div id="tbox"> <a target="_blank" id="fb" href="https://www.facebook.com/sharer.php?u=https://www.getit01.com/p20180109635307626/"></a> </div> <script data-cfasync="false" type="text/javascript">if (window.addthis_product === undefined) { window.addthis_product = "wpp"; } if (window.wp_product_version === undefined) { window.wp_product_version = "wpp-6.1.1"; } if (window.wp_blog_version === undefined) { window.wp_blog_version = "4.8.22"; } if (window.addthis_share === undefined) { window.addthis_share = {}; } if (window.addthis_config === undefined) { window.addthis_config = {"data_track_clickback":true,"ignore_server_config":true,"ui_atversion":"300"}; } if (window.addthis_layers === undefined) { window.addthis_layers = {}; } if (window.addthis_layers_tools === undefined) { window.addthis_layers_tools = [{"share":{"counts":"each","numPreferredServices":5,"mobile":false,"position":"left","theme":"transparent"},"sharedock":{"counts":"each","numPreferredServices":5,"mobileButtonSize":"large","position":"bottom","theme":"transparent"}},{"sharetoolbox":{"numPreferredServices":5,"counts":"each","size":"32px","style":"fixed","shareCountThreshold":0,"elements":".addthis_inline_share_toolbox_vh9e,.at-above-post"}}]; } else { window.addthis_layers_tools.push({"share":{"counts":"each","numPreferredServices":5,"mobile":false,"position":"left","theme":"transparent"},"sharedock":{"counts":"each","numPreferredServices":5,"mobileButtonSize":"large","position":"bottom","theme":"transparent"}}); window.addthis_layers_tools.push({"sharetoolbox":{"numPreferredServices":5,"counts":"each","size":"32px","style":"fixed","shareCountThreshold":0,"elements":".addthis_inline_share_toolbox_vh9e,.at-above-post"}}); } if (window.addthis_plugin_info === undefined) { window.addthis_plugin_info = {"info_status":"enabled","cms_name":"WordPress","plugin_name":"Share Buttons by AddThis","plugin_version":"6.1.1","plugin_mode":"WordPress","anonymous_profile_id":"wp-465109ee2f0e70a26b602727e258dac0","page_info":{"template":"posts","post_type":""},"sharing_enabled_on_post_via_metabox":false}; } (function() { var first_load_interval_id = setInterval(function () { if (typeof window.addthis !== 'undefined') { window.clearInterval(first_load_interval_id); if (typeof window.addthis_layers !== 'undefined' && Object.getOwnPropertyNames(window.addthis_layers).length > 0) { window.addthis.layers(window.addthis_layers); } if (Array.isArray(window.addthis_layers_tools)) { for (i = 0; i < window.addthis_layers_tools.length; i++) { window.addthis.layers(window.addthis_layers_tools[i]); } } } },1000) }()); </script><script type='text/javascript' src='https://s7.addthis.com/js/300/addthis_widget.js?ver=4.8.22#pubid=wp-465109ee2f0e70a26b602727e258dac0'></script> <script type='text/javascript' src='https://www.getit01.com/wp-content/themes/Qu/js/loostrive.js?ver=1.0'></script> <script type='text/javascript' src='https://www.getit01.com/wp-includes/js/wp-embed.min.js?ver=4.8.22'></script> </body></html>