1. cookie用来在客户端存储用户信息，session用来在服务器端存储用户数据，均可用于户跟踪用户状态。 2. 由于存放在服务器端，session较存放在客户端的cookie来说更为安全，用户验证等重要信息一般存放于session，但cookie也可以加密来提高安全性。 3. cookie在使用脚本或用户手动删除前永久保存，最大一般为4KB。session在会话期间保存，当访问增多会加重服务器负担。 4. session的实现需要cookie支持：session依赖session ID实现，而session ID存放于cookie，因此，禁用cookie之后session也会失效。但可使用其他方法实现，如：在URL中传递session ID。 5. session在服务器端可存放于文件（默认）、数据库或内存。 6. session支持各种类型对象，cookie只保存字符串。