Cookie 和 Session 对象

Cookie 是最常用的Http会话跟踪机制，且所有Servlet容器都应该支持。当客户端不接受Cookie时，服务端可使用URL重写的方式作为会话跟踪方式。会话ID必须被编码为URL字符串中的一个路径参数，参数的名字必须是 jsessionid。

浏览器和服务端创建会话(Session)后，服务端将生成一个唯一的会话ID(sessionid)用于标识用户身份，然后会将这个会话ID通过Cookie的形式返回给浏览器，浏览器接受到Cookie后会在每次请求后端服务的时候带上服务端设置Cookie值，服务端通过读取浏览器的Cookie信息就可以获取到用于标识用户身份的会话ID，从而实现会话跟踪和用户身份识别。

因为Cookie中存储了用户身份信息，并且还存储于浏览器端，攻击者可以使用XSS漏洞获取到Cookie信息并盗取用户身份就行一些恶意的操作。