有个疑问，据说是session身份验证比cookie身份验证更安全，因为session安全验证是存储在服务器，但是服务器仍然是需要去读取存储用户浏览器中的session id，然后依照这个session id去寻找session，这和读取cookie比起来，感觉也安全不到哪里去啊，我如果获取了目标的session id，不是照样可以伪造身份吗？你把session信息存储在服务端又安全在哪里呢？

刚刚查了一下，相关的资料，得出了确实两种方法都半斤八两，安全性差不多的结论，以下摘抄自某文章

（ 没错，其实HTTP本身就不安全，只要是存在cookie中的数据都可以获取到并加以利用，
但是session的安全性也是相对的，由于数据存储在数据库中，就算sessionid被获取利用，
但是session中的数据并不会被恶意程序获取，这一点相对cookie来说就安全了一些； ）

记一下来自我自己的分析：
经常存在session -id还存储在浏览器，但是session信息已经过期的情况，此时进行登录，
它会依照你当前的session -id创建session文件。也就是说黑客获得了用户的session -id后并不一定
可以利用这个id进行登录，因为对应的session信息可能已经被销毁了，而且session id中也并没有存储其
它有价值的信息，这就是session比单纯的cookie安全性更高的原因

session .invalidate()：减除绑定 Session 中的所有变量 转自：http://www.blogjava.net/BearRui/archive/2010/08/23/url_ session _id_leek.html 很多WEB开发语言为了防止浏览器禁止了cookie而无法识别用户，允许在URL中携带 sessionid ，这样虽然方便，但却有可能引起钓鱼的 安全 漏洞。... 客户端用cookie保存了 sessionID ，当我们请求 服务器 的时候， 会 把这个 sessionID 一起发给 服务器 ， 服务器 会 到内存中搜索对应的 sessionID ，如果找到了对应的 sessionID ，说明我们处于登录状态，有相应的权限；如果没有找到对应的 sessionID ，这说明：要么是我们把浏览器关掉了（后面 会 说明为什 么），要么sessi... session 模拟登陆方法：1、用 session 并携带headers和data进行请求登陆接口2、请求成功后， session 中 会 携带cookie信息，再通过 session 请求登陆后页面即可实现模拟登陆该篇文章不明白的留言，100多个爬虫、数据分析、机器学习源码已经上传知识星球（左侧为知识星球，右侧二维码为微信公众号） ... 如何做到关闭浏览器后通知你重新登录。 Session 作用域的特性 存放的值可以跨页面，只要你不关闭浏览器那么你的作用域的值就一直存在。也就意味着 会 话不结束 session 长存(可以设置最大存活时间)。 实际项目中如何实现访问页面拦截 在登录成功之后，将用... 1.cookie不 安全 ，而 sessionid 也是放在cookie里，是不是没有区别，不 安全 ？ 答：首先cookie是放在HTTP头部字段的东西，里面存放的是身份标识数据。由于cookie是明文显示的，如果身份标识数据是用户密码，那肯定不 安全 。存放在客户端，容易被篡改。 而 sessionid 也是身份标识数据，但是是放在服务端的，就是一个单纯的id，就算被知道了，也不知道用户密码。所有 sessionid 是存在在cookie里的。 安不 安全 取决于身份标识数据存放的是什么。而争对cookie 安全 问题 ，JS脚本