cookie和session

      通过修改请求头是可以传递cookie等信息的。但是w3c的标准写的很清楚，cookie,connection和content-length等是不安全的字段，容易导致多种的request smuggling攻击，不允许编程设置。这些字段浏览器会自动帮你设置，如果设置就会报出错误：“Refused to set unsafe header "Content-Length"。