Cookie 和 Session 對象

Cookie 是最常用的Http會話跟蹤機制，且所有Servlet容器都應該支持。當客戶端不接受Cookie時，服務端可使用URL重寫的方式作為會話跟蹤方式。會話ID必須被編碼為URL字符串中的一個路徑參數，參數的名字必須是 jsessionid。

瀏覽器和服務端創建會話(Session)后，服務端將生成一個唯一的會話ID(sessionid)用于標識用戶身份，然后會將這個會話ID通過Cookie的形式返回給瀏覽器，瀏覽器接受到Cookie后會在每次請求后端服務的時候帶上服務端設置Cookie值，服務端通過讀取瀏覽器的Cookie信息就可以獲取到用于標識用戶身份的會話ID，從而實現會話跟蹤和用戶身份識別。

因為Cookie中存儲了用戶身份信息，并且還存儲于瀏覽器端，攻擊者可以使用XSS漏洞獲取到Cookie信息并盜取用戶身份就行一些惡意的操作。