Http和Https下的cookie的寫(xiě)入問(wèn)題

session和cookie是不一樣的
session存儲(chǔ)在服務(wù)器,cookie存儲(chǔ)在客戶(hù)端

設(shè)置cookie:
function setcookie ($name, $value = null, $expire = null, $path = null, $domain = null, $secure = null, $httponly = null) {}
獲取cookie:
$_COOKIE[$sCookieName];

題主的寫(xiě)法只是操作了服務(wù)器端的session,并沒(méi)有向?yàn)g覽器發(fā)送cookie
session.cookie_secure 使得cookie是否可以通過(guò)https傳輸,改向設(shè)置為1則僅可以通過(guò)https傳輸cookie
session.cookie_httponly 使得cookie是否可以被客戶(hù)端js等進(jìn)行操作,該項(xiàng)設(shè)置為1則僅能夠通過(guò)http請(qǐng)求訪問(wèn)cookie

====================更新===================
測(cè)試了題主的寫(xiě)法,session需要cookie來(lái)保存會(huì)話id,如果配置禁止了http寫(xiě)cookie的權(quán)限的話
那么每次交互響應(yīng)頭都會(huì)發(fā)送set-cookie命令,且會(huì)話id每次都會(huì)重新生成
而由于當(dāng)前請(qǐng)求內(nèi)$_SESSION是超全局變量,其內(nèi)容在當(dāng)前上下文是存在的,所以是可以正確獲取到的
并且客戶(hù)端和服務(wù)器交互請(qǐng)求頭會(huì)發(fā)送sessionid來(lái)唯一識(shí)別本次會(huì)話,如果客戶(hù)端不能夠存儲(chǔ)cookie
則服務(wù)器不能夠查找到當(dāng)前交互設(shè)置的session,也就是說(shuō)當(dāng)前請(qǐng)求設(shè)置的session僅存在于當(dāng)前上下文,
下一個(gè)請(qǐng)求到來(lái)時(shí),由于請(qǐng)求頭沒(méi)有攜帶上次會(huì)話的sessionid,就無(wú)法識(shí)別相應(yīng)的session,上次請(qǐng)求設(shè)置的session相當(dāng)于不存在,由于服務(wù)器端session存儲(chǔ)在文件中,那么每次交互都會(huì)在session.save_path產(chǎn)生新的sess_j9pul3sdggncaas6luc4cild95文件,這樣會(huì)耗盡服務(wù)器資源

之所以你能獲取到，因?yàn)镾ESSION在當(dāng)前上下文是存在的。

你這里服務(wù)器設(shè)置了COOKIE，但是COOKIE還沒(méi)有發(fā)送給客戶(hù)端，HTTP協(xié)議中會(huì)在返回的HEADER通過(guò)SET-COOKIE告訴客戶(hù)端當(dāng)前服務(wù)端需要本地寫(xiě)入哪些COOKIE，這中間就存在你問(wèn)題所提出的客戶(hù)端根據(jù)當(dāng)前是HTTP還是HTTPS選擇是否可接受COOKIE寫(xiě)入，默認(rèn)情況下都能接受。
你客戶(hù)端第二次訪問(wèn)服務(wù)器會(huì)帶上本地的有效COOKIE在HTTP頭中，若之前返回的COOKIE沒(méi)有被接受那么自然服務(wù)器就獲取不到COOKIE了。

你可以試試

var_dump($_SESSION);

ini_set('session.cookie_secure', 1);
ini_set('session.cookie_httponly', 1);
$_SESSION['token']='sdfdsfds';
var_dump($_SESSION);

如果HTTP訪問(wèn)，則第一次的var_dump會(huì)沒(méi)有值。

參考下:

1. PHP Session 原理

http://blog.csdn.net/whq19890...

https://www.cnblogs.com/luozh...
https://stackoverflow.com/que...