cookie是什么？和session有什么区别？

Cookie 和 Session 都是用于跟踪用户会话状态的技术，但它们以不同的方式工作，并且存储位置不同。

Cookie：

定义：Cookie 是小型的数据文件，由服务器发送到客户端浏览器，然后浏览器将这些数据存储在用户的本地硬盘上，当浏览器再次请求同一网站时，它会将这些 Cookie 发送回服务器。
存储位置：Cookie 存储在客户端（用户的计算机）上。
作用：Cookie 主要用于识别用户、保存用户偏好设置、跟踪购物车商品等。
大小限制：单个 Cookie 的大小通常限制为 4KB 左右，每个域名下的 Cookie 数量也有限制。
安全性：由于 Cookie 存储在客户端，因此容易受到脚本攻击（如 XSS），敏感信息不应存储在 Cookie 中。
生命周期：Cookie 可以是会话性的（浏览器关闭后消失）或持久性的（直到过期时间或被手动删除）。

Session：

定义：Session 是一种服务器端机制，用于存储用户会话期间的信息，以便在多个页面请求之间保持状态。
存储位置：Session 数据存储在服务器端，通常是内存数据库中，有时也可能存储在文件系统或数据库中。
作用：Session 用于存储用户登录状态、购物车信息或其他需要在服务器端维护的会话状态。
大小限制：Session 没有固定大小限制，但应合理控制其大小以避免不必要的资源消耗。
安全性：比 Cookie 更安全，因为数据不存储在客户端，减少了遭受客户端攻击的风险。
生命周期：Session 的生命周期通常与用户的活动相关，当用户长时间无操作后会自动结束，或者在服务器端被显式地清除。

主要区别：

Cookie 存储在客户端，而 Session 存储在服务器端。
Cookie 受到大小限制，而 Session 没有严格的大小限制。
Cookie 可能会被禁用或清除，影响其可靠性；而 Session 不受此影响。
Cookie 相对不安全，容易被恶意脚本读取，而 Session 更加安全。
Session 依赖于 Cookie 来传递 Session ID（除非使用其他方法如 URL 重写）。如果客户端禁用了 Cookie，则可能无法正确使用 Session。