HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。
       目前已经设计出几种机制，用来维持会话状态。它们是cookie、URL扩展和隐藏字段。它们有各自的优点和缺点。
 （1）cookie。Cookie被定义用来和HTTP协议一起使用。它们是Web服务器使用的一种机制，被用来向浏览器发送信息合并进行存储。Cookie可以携带关于它返回何处的信息。当浏览器访问在cookie中指定的域或路径时，这个cookie将会返回Web服务器。
 * cookie或者在浏览器会话期间，被存储在浏览器中，或者被写入永久性存储器，会被保留由Web服务器设置一个固定时间段。
 * cookie最多可以容纳4096字节的数据。一个Web站点可以发送多个cookie，每个域最多可以接受20个cookie。而浏览器最多可以存储300个cookie，如果超过了最高限额，那些最近最少使用的cookie将被删除。
* cookie最大的局限性在于它们只能由生成它们的站点读取。所以，虽然cookie可以用来在同一个域中维持状态，但它们不能跨域维护状态。
（2）URL扩展。有了URL扩展，Web服务器可以在发送到浏览器的URL的末端追加一个名值对，即查询字符串。当浏览器再次访问这个URL的时候，这个名值对会被发送到Web服务器。
* URL的尺寸最小可以被限定在2048字节。多数浏览器和控制项装置的URL长度限制为255个字符，最多也就1K。对于大多数用户来说，他们使用的浏览器是IE浏览器，IE的最大URL长度限制是2083字节，而实际可以使用的最大长度为2048字节。因此，这种方式不总是可行的。
（3）隐藏字段。表单中的隐藏字段可以用来保持会话信息。如果某个表单被发送到浏览器供用户填写，那么它可以包含一些不显示的数据。当这个表单被用HTTP Post发送回Web服务器的时候，隐藏字段和表单中的其他信息将一起被发送。这项技术不要求必须使用HTTP Post与Web服务器通信，用HTTP Post效率不总是很高。
        无论使用哪一种方法都要记住的是，一定要保护好会话跟踪数据，避免这些数据被窃听。这三种方法中的会话数据很容易发现，而且修改它们也很简单。

参考：——《全面掌握Web服务安全性》北京：清华大学出版社，2004