cookie、session

过期时间

cookie

• 对于cookie，若过期时间小于等于0，则代表关闭浏览器即删除cookie。
• cookie的过期时间都指的是关闭浏览器后经过多长时间过期(未验证)。

session

• 对于session，若过期时间小于等于0，代表永不过期。
• 验证发现，Tomcat中关闭浏览器session(登录状态)会立即失效，不受session过期设置的影响，这说明JSESSIONID(cookie)的过期时间被默认设为小于等于0.
• 再做验证，将session过期时间设为1分钟，即使不关闭网页session(登录状态)也会失效，这说明session的过期时间不是相对于关闭浏览器的时刻而言的；若在这一分钟之内不断地在浏览器上对服务器进行访问，session不会失效，这说明session的过期时间是相对于最后一次session活动时间而言的。
  在java中设置session过期时间有三种方法：

1. 项目web.xml中

<session-config>
  <session-timeout>1</session-timeout>
</session-config>

2. 在服务器web.xml中同上设置，当然作用范围会变成服务器。
3. 在处理请求中设置此次会话的session过期时间。

session.setMaxInactiveInterval()

安全性

cookie

cookie的不安全性体现在其他用户使用计算机

可访问权限

cookie

cookie 浏览器默认只将cookie返回给与设置该cookie的servlet所在目录及之下的servlet。使用setPath("/")可以设置cookie网站所有servlet。

服务器url：以斜杠开头代表相对于根目录，无斜杠开头代表相对于当前页面或servlet所在目录。