企业官网建设流程全解析

外贸建站哪家公司好,深圳自己的网站建设,猪八戒网做网站怎么样,青岛海西建设集团官方网站目录 一、如果没有 Cookie 和 Session#xff0c;世界会怎样#xff1f; 1️⃣ 首先你要知道#xff1a;HTTP 是“失忆”的 2️⃣ 如果真的一直这样#xff0c;会发生什么#xff1f; 二、Cookie#xff1a;贴在你身上的“便利贴” 1️⃣ Cookie 是什么#xff1f;…目录一、如果没有 Cookie 和 Session世界会怎样1️⃣ 首先你要知道HTTP 是“失忆”的2️⃣ 如果真的一直这样会发生什么二、Cookie贴在你身上的“便利贴”1️⃣ Cookie 是什么2️⃣ Cookie 的工作流程完整可视化过程 第一次访问时你还没任何身份标识 再次访问时浏览器会自动带着 Cookie3️⃣ Cookie 的优点与缺陷三、Session服务器的小本子1️⃣ Session 到底是什么2️⃣ Session 为什么离不开 Cookie四、Session 的完整工作原理核心 登录瞬间到底发生了什么 后续每一次请求身份验证过程五、Cookie Session 的黄金搭档关系六、常见关键细节很多人都会踩坑的点 Cookie 里不会存真正的用户信息 Session 不是一定存在内存 Cookie 可能被禁用七、10 年大厂高频真题含生活化答案✅ 题目 1为什么 Cookie 不能存敏感信息✅ 题目 2Session 一定依赖 Cookie 吗✅ 题目 3分布式系统 Session 怎么办✅ 题目 4Session vs JWT 最大区别✅ 题目 5Cookie 被禁用怎么办八、最近10年大厂常考题目及答案考题 1Cookie 和 Session 的区别与联系是什么阿里 2021、字节 2023考题 2Cookie 有哪些安全属性分别解决什么问题腾讯 2022、美团 2024考题 3分布式系统中Session 如何实现共享有哪些方案阿里 2023、字节 2025考题 4如果浏览器禁用了 CookieSession 还能使用吗如何实现美团 2021、京东 2023考题 5a.baidu.com和b.baidu.com如何共享 Cookie字节 2020、阿里 2025一、如果没有 Cookie 和 Session世界会怎样1️⃣ 首先你要知道HTTP 是“失忆”的HTTP 协议有一个非常硬核的特性无状态Stateless——服务器不会记住你是谁用生活比喻你走进便利店买水 → 出门 → 5 秒后再进来 → 店员依然当你是陌生人。这就是 HTTP。2️⃣ 如果真的一直这样会发生什么购物车永远记不了东西登录每刷新一次页面就得重新输密码银行网站根本无法工作所以我们必须给“失忆的服务器”加点记忆能力。于是 Cookie 和 Session 应运而生。二、Cookie贴在你身上的“便利贴”1️⃣ Cookie 是什么专业定义Cookie 是服务器发送到浏览器并由浏览器保存的一小段数据每次请求会自动带回给服务器。人话版本服务器给你贴了张便利贴说“以后再来把这张带上我就知道是你了。”2️⃣ Cookie 的工作流程完整可视化过程 第一次访问时你还没任何身份标识 再次访问时浏览器会自动带着 Cookie3️⃣ Cookie 的优点与缺陷优点浏览器自动携带机制简单非常适合存少量身份标识致命缺点❌ Cookie 在客户端用户能看到、能删、甚至能改这意味着不安全不能直接存敏感信息 于是Session 登场了。三、Session服务器的小本子1️⃣ Session 到底是什么专业定义Session 是服务器为每个用户维护的一份“会话状态数据”。生活比喻服务器有一本小本子记着“这个用户是谁登录了吗有什么权限正在干什么。”2️⃣ Session 为什么离不开 Cookie很多人误解“用 Session 就不需要 Cookie 了吧”错真正真相是Session 不把数据放 Cookie只把“钥匙SessionID放 Cookie”。四、Session 的完整工作原理核心 登录瞬间到底发生了什么 后续每一次请求身份验证过程五、Cookie Session 的黄金搭档关系一句专业总结Cookie 负责“编号”Session 负责“内容”。一句生活总结Cookie 像寄存柜的取件牌Session 像柜台后面的真实包裹 取件牌丢了 → 还可以人工找但麻烦 包裹没了 → 你拿号码也没用六、常见关键细节很多人都会踩坑的点 Cookie 里不会存真正的用户信息只存SessionID / Token / Key Session 不是一定存在内存小系统内存大厂Redis / Session 集群 / 共享 Session Cookie 可能被禁用此时URL 重写Header 自定义JWT 替代七、10 年大厂高频真题含生活化答案✅ 题目 1为什么 Cookie 不能存敏感信息专业回答Cookie 在客户端可被查看、篡改并且存在 XSS 攻击威胁。生活比喻就像把银行卡密码写在钱包外壳上。✅ 题目 2Session 一定依赖 Cookie 吗专业回答不是必须可以通过 URL 重写、Header但 Cookie 是最主流方式。生活比喻你可以刷卡进门也可以人工登记。✅ 题目 3分布式系统 Session 怎么办专业回答Session 共享Redis、Session 同步、或干脆改用 JWT 无状态方案。生活比喻连锁超市共享会员系统而不是每家店各一本。✅ 题目 4Session vs JWT 最大区别专业回答Session 有状态服务器保存JWT 无状态信息自包含在 Token 里。生活比喻Session 商家账本JWT 印着你信息的身份证✅ 题目 5Cookie 被禁用怎么办专业回答Session 机制失效需要 URL 传递、Header、或改 Token 架构。生活比喻进出小区不能刷卡 → 每次都人工登记。八、最近10年大厂常考题目及答案以下是阿里、腾讯、字节、美团等大厂近10年高频面试题考题 1Cookie 和 Session 的区别与联系是什么阿里 2021、字节 2023专业答案区别① 存储位置Cookie 在客户端浏览器Session 在服务器端② 安全性Cookie 易被篡改 / 窃取需通过 HttpOnly/Secure 等属性增强安全Session 数据在服务器安全性更高③ 存储容量Cookie 通常≤4KB / 域名Session 无固定限制取决于服务器存储④ 过期策略Cookie 可通过 Expires/Max-Age 自定义过期默认随浏览器关闭Session 依赖服务器配置如超时自动失效⑤ 交互方式Cookie 每次请求自动携带Session 通过 Session ID 关联通常存于 Cookie。联系① Session 依赖 Cookie 传递 Session ID二者协同实现 HTTP 状态跟踪② Cookie 可独立使用如存储用户偏好Session 不可独立使用需依赖 Session ID 传递。通俗解释区别① 存放位置Cookie 是你手里的会员卡客户端Session 是店里的会员档案服务器② 安全性会员卡容易丢 / 被改Cookie档案锁在柜子里Session更安全③ 容量会员卡只能写少量信息4KB档案本可以写很多内容④ 过期会员卡可以设置有效期Cookie档案超过 30 分钟没人用就自动作废Session⑤ 使用方式你每次去都要带会员卡Cookie 自动携带档案要通过会员卡编号查找Session 依赖 Session ID。联系① 没有会员卡Cookie店员找不到你的档案Session② 会员卡可以单独用比如存积分但档案不能单独用必须要编号。考题 2Cookie 有哪些安全属性分别解决什么问题腾讯 2022、美团 2024专业答案Cookie 的核心安全属性及作用① HttpOnly禁止客户端 JavaScript 读取 Cookie解决 XSS 攻击窃取敏感 Cookie如 Session ID的问题② Secure仅在 HTTPS 协议下发送 Cookie解决 HTTP 连接中 Cookie 被中间人窃听的问题③ SameSite控制跨站请求是否发送 Cookie取值 Strict跨站不发送、Lax仅顶层导航发送、None允许发送需配合 Secure解决 CSRF 攻击问题④ Domain/Path限制 Cookie 的生效域名和路径避免 Cookie 被无关路径或子域滥用缩小安全风险范围。通俗解释Cookie 的安全属性就像给会员卡加了各种安全限制① HttpOnly会员卡标注 “员工专用顾客不能看详情”防止别人XSS 攻击偷看到卡上的编号② Secure会员卡标注 “仅店内使用禁止带出店外”防止在外面HTTP 连接被别人抢走③ SameSite会员卡标注 “仅限本人使用禁止转借”防止别人CSRF 攻击用你的卡冒名消费④ Domain/Path会员卡标注 “仅本连锁门店生鲜区使用”避免别的店子域或别的区域路径滥用你的卡。考题 3分布式系统中Session 如何实现共享有哪些方案阿里 2023、字节 2025专业答案分布式系统中 Session 共享的核心问题用户请求可能被负载均衡分发到不同服务器单机存储的 Session 无法跨节点共享导致用户 “明明登录了却被要求重新登录”。常见方案① Session 复制集群中每个服务器将本地 Session 复制到其他节点优点是实现简单、用户无感知缺点是节点增多后复制开销指数级增长不适合大规模集群② Session 绑定Sticky Session通过负载均衡将用户固定到同一服务器优点是实现成本低、性能好缺点是扩展性差节点宕机导致 Session 丢失③ 集中式存储将 Session 存储在独立的共享组件如 Redis、Memcached所有服务器通过 Session ID 从集中存储中获取 Session 数据优点是扩展性好、支持高并发缺点是增加外部依赖需保证存储层高可用是目前主流方案④ Token 方式无状态 Session用 JWT 等 Token 替代 Session服务器不存储 Session 数据Token 包含用户信息并签名客户端每次请求携带 Token优点是服务端无状态、天然支持水平扩展缺点是 Token 一旦签发无法轻易撤销刷新机制较复杂。通俗解释分布式系统就像连锁便利店每个门店服务器都有自己的档案柜单机 Session顾客用户可能去不同门店导致档案无法共享。解决方案① Session 复制每个门店把顾客档案复印一份发给其他门店优点是不用额外设备缺点是门店多了复印太费时间② Session 绑定让顾客每次都去同一个门店优点是简单、快缺点是这个门店关门了服务器宕机顾客的档案就没了③ 集中式存储所有门店共用一个中央档案库Redis不管顾客去哪个门店都去中央档案库查档案优点是门店可以随便加、档案不会丢缺点是需要单独维护中央档案库④ Token 方式不用档案库给顾客发一个带签名的凭证Token凭证上写着顾客信息每个门店只要验证凭证的签名就知道顾客身份优点是不用维护档案库、门店可以无限加缺点是凭证发出去后不能随便收回需要定期换。考题 4如果浏览器禁用了 CookieSession 还能使用吗如何实现美团 2021、京东 2023专业答案浏览器禁用 Cookie 后Session 仍可使用核心是通过其他方式传递 Session ID。常见实现方式① URL 重写将 Session ID 拼接在 URL 末尾格式为 “URL;jsessionidxxx”服务器接收请求时从 URL 中解析 Session ID② 表单隐藏字段在表单中添加隐藏字段input typehidden namejsessionid valuexxx提交表单时将 Session ID 传递给服务器③ 自定义请求头通过 AJAX 请求的自定义头如 X-Session-ID: xxx传递 Session ID。注意事项① URL 重写需对所有 URL 编码且静态页面无法使用② 表单隐藏字段仅适用于表单提交场景③ 自定义请求头需前端配合适用范围有限④ 这些方式安全性和用户体验均不如 Cookie现在很少使用更推荐用 Token 认证替代。通俗解释浏览器禁用 Cookie 就像顾客丢了会员卡不能存储 Session ID但还是可以通过其他方式证明身份① URL 重写店员把顾客的档案编号写在购物袋上URL 末尾顾客下次来的时候带着购物袋店员从购物袋上找编号② 表单隐藏字段店员把档案编号写在一张纸条上放在顾客的购物车里表单隐藏字段顾客结账时把纸条一起交给店员③ 自定义请求头顾客每次来的时候主动告诉店员自己的档案编号自定义请求头。这些方式的缺点① 购物袋上的编号容易被别人看到URL 重写不安全② 纸条只能在结账时用表单场景有限③ 主动说编号太麻烦自定义请求头④ 所以现在更推荐用电子凭证Token替代。考题 5a.baidu.com和b.baidu.com如何共享 Cookie字节 2020、阿里 2025专业答案实现同主域下不同子域共享 Cookie 的核心是设置 Cookie 的 Domain 属性。具体步骤① 服务器在 Set-Cookie 响应头中设置 Domain.baidu.com注意前面的点表示该 Cookie 适用于baidu.com及其所有子域a.baidu.com、b.baidu.com等② 确保 Cookie 的 Path 属性设置为 /表示整个域名下所有路径生效③ 子域a.baidu.com和b.baidu.com的请求都会自动携带该 Cookie从而实现共享。注意事项① Domain 属性不能设置为跨主域如将baidu.com的 Cookie 设置为 Domain.google.com是无效的受同源策略限制② 共享的 Cookie 建议设置 HttpOnly、Secure 等安全属性避免被滥用。通俗解释a.baidu.com和b.baidu.com就像百度连锁的两家门店子域要让顾客的会员卡Cookie在两家店通用① 店员在发卡时标注 “全百度连锁门店通用”Domain.baidu.com而不是 “仅限 a 店使用”默认 Domaina.baidu.com② 同时标注 “全门店所有区域可用”Path/③ 这样顾客拿着这张卡去 b 店店员也能识别实现会员卡共享。注意① 不能把百度的会员卡标注 “谷歌门店通用”跨主域无效只能在同一连锁品牌同主域内共享② 共享的会员卡也要加安全限制HttpOnly/Secure避免被滥用。总结Cookie 与 Session 核心差异在于存储位置和状态性Session 依赖 Cookie 传递 ID二者协同实现 HTTP 状态跟踪Cookie 的安全属性HttpOnly/Secure/SameSite 等是抵御 XSS/CSRF 等攻击的关键Domain/Path 可控制 Cookie 生效范围分布式 Session 共享的主流方案是集中式存储Redis禁用 Cookie 时可通过 URL 重写等方式传递 Session ID但更推荐 TokenJWT方案同主域子域共享 Cookie 的核心是设置 Domain. 主域名且需遵循同源策略同时搭配安全属性保障安全。