Cookie 是最常用的Http会话跟踪机制,且所有Servlet容器都应该支持。当客户端不接受Cookie时,服务端可使用URL重写的方式作为会话跟踪方式。会话ID必须被编码为URL字符串中的一个路径参数,参数的名字必须是 jsessionid
    浏览器和服务端创建会话(Session)后,服务端将生成一个唯一的会话ID(sessionid)用于标识用户身份,然后会将这个会话ID通过Cookie的形式返回给浏览器,浏览器接受到Cookie后会在每次请求后端服务的时候带上服务端设置Cookie值,服务端通过读取浏览器的Cookie信息就可以获取到用于标识用户身份的会话ID,从而实现会话跟踪和用户身份识别。
    因为Cookie中存储了用户身份信息,并且还存储于浏览器端,攻击者可以使用XSS漏洞获取到Cookie信息并盗取用户身份就行一些恶意的操作。