Cookies使用原则

Cookies使用原则

cookies本来就是个不安全的东西，原本设计只是为了更好地和用户交互，但是使用不当就会总成账户信息泄露，甚至账户被伪造。cookies可在客户端被修改，所以不要在cookies里存储重要的信息，如账户信息(用户密码、用户验证密钥、用户隐私资料等)、登陆控制信息（用户登陆签证等）、会话信息等。

建议将重要的信息保存在服务端，若是全部页面或大部分页面需要的又不涉及到安全性能的参数、常数可使用session存储。

总的来说，应遵循以下原则：

1.和用户账户相关的信息特别是涉及到安全验证和安全授权的信息都应保存在服务端，需要有记录的保存到数据库，不需要记录的保存到session。

2.所有及到安全验证和安全授权的信息都应保存在服务端！！

3.仅仅只是改善用户体验和用户交互的可保存在cookies。