存储位置

• cookie：数据存储在客户端浏览器中。当用户访问网站时，服务器会将 cookie 发送到用户的浏览器，浏览器会将其存储在本地，之后每次用户向该服务器发送请求时，浏览器都会自动携带相应的 cookie。
• session：数据存储在服务器端。服务器会为每个用户创建一个唯一的 session 对象，用于存储该用户的相关信息，当用户访问网站时，服务器会通过 session ID 来识别用户的 session。

数据安全性

• cookie：由于 cookie 存储在客户端，用户可以直接查看和修改，因此安全性相对较低。如果存储敏感信息，如用户登录凭证等，容易被窃取或篡改，造成安全风险。
• session：数据存储在服务器端，只有服务器能够访问和修改，用户无法直接操作，因此安全性相对较高。但如果 session ID 被泄露，攻击者也可以利用它来获取用户的 session 信息。

数据大小限制

• cookie：单个 cookie 所能存储的数据量有限，一般不超过 4KB。如果存储过多数据，可能会导致性能问题，并且不同浏览器对 cookie 的大小限制也有所不同。
• session：理论上，session 存储的数据量没有严格限制，主要受服务器内存大小的影响。但为了保证服务器性能，也不建议存储过多过大的数据。

有效期

• cookie：可以设置明确的过期时间，也可以设置为会话级别的 cookie（关闭浏览器后失效）。如果设置了过期时间，在过期之前，cookie 会一直存在于客户端浏览器中。
• session：默认情况下，session 有一个会话超时时间，一般为 20-30 分钟左右，具体时间可以在服务器端进行配置。如果用户在超时时间内没有任何操作，服务器会自动销毁该 session。

对服务器性能的影响

• cookie：每次请求都会携带 cookie 数据，增加了请求的大小和网络传输的负担，但对服务器内存消耗较小。
• session：每个用户的 session 数据都存储在服务器内存中，如果并发用户量较大，会占用大量的服务器内存，可能导致服务器性能下降。