HTTP是一种无状态的协议-Web服务器不必保持与过去或者将来请求的任何信息。当一个Http请求到达服务器后，服务器总是这样认为的:"这小子，新来的！"，但是服务器有没有理由保持用户的会话状态呢？当然有。例如，在对访问的授权中，服务器就不得不记住这些来历不明的坏小子么。通过什么手段能达到这样的目的呢？最为人熟悉的解决方案就是Cookie.下面我们就谈谈Cookie的工作原理和利弊.
1.Cookie的定义
   Cookie是一种在HTTP中对状态进行管理的方式。它是一种少量的状态数据，由We站点服务器发送给浏览器，并代表服务器存储在用户的机器上。
2.使用Cookie的动机
   服务器随其响应向浏览器发送一个Cookie，请求浏览器在随后的请求中包含此Cookie，采用这种方式，Web服务器就能在会话中跟踪用户。Cookie中的消息可能是唯一的，这样便可以单独的跟踪特定的用户，也可能是剪辑，使得服务器能够统一跟踪来自一家单位的所有用户。

比如，在一个电子商务网站中，如果没有Cookie，每当用户请求该站点的时候，都会要求用户填写一份标识自己身份的表单，这么繁琐的过程，用户会很快失去耐心。但引入了Cookie之后，这个问题就得到了很好的解决。比如在“购物车"，用户将自己想要买的商品放入其中，那么Web服务器就会记住顾客想要买的商品列表，这样用户就像真的在超市一样，把自己想要的东西放入车里，等结账的时候，统一付费，当然你在购买的过程中，还可以把放入购物车的商品放回去。对用户和Web服务器来说，这无疑是一种福音。但有一句话说得好:"天下绝对没有免费的午餐"，Cookie在被称为"Web上的甜饼"的同时,由于对用户隐私的影响，Cookie也成为备受争议的主题。
3.Cookie在浏览器中的使用　
　下图显示了Cookie在浏览器中的使用过程，
　　
客户机将请求发送给原始服务器，原始服务器在其响应中包含一个含有Cookie值得标头（Set-Cookie），在未来所有对该服务器的请求中，客户端都会包含Cookie。注意在客户端存储Cookie的时候，并不对Cookie字符串(XYZ)进行任何的解释。服务器可以依据生成请求的客户端，相应对的剪辑字符串进行构造，并更改用于构造Cookie字符串的机制。该图也可以表明进行Cookie交互的时候，无须用户的参与，除非事先要求每当Cookie发出时，便向用户进行通知。这也就在意定程度上对用户的隐私造成了威胁。
　当用户浏览器接受到Cookie之后，起初是存放于浏览器的内存中，当浏览器退出的时候，会以磁盘文件的形式写入稳定存储器中。在这个过程中有一定的规则，如果Cookie具有的超时时间设定大于当前浏览器退出时间，Cookie会存储，如果不大于，就不必要存储，这就是有人说的设置了超时的Cookie会存储，而没有设置的Cookie只用于浏览器会话。Cookie最多４KB的长度，对于单独的浏览器来说，它为每个服务器或者域提供最多20个Cookie,总共可提供300个Cookie。
４.Cookie的隐私问题
  　Cookie得到了广泛的应用，但同时被怀疑会引起对个人隐私的侵犯。开始的时候，如果浏览器设定允许Cookie，许多的用户甚至不知道他们在发送Cookie,Cookie用明文发送，而且用Http嗅探工具，也能很简单的探到Cookie信息 ,而数据包在网络中传输的时候，Cookie的信息也能够被别有用心的人修改。另外,由于服务器可能使用Cookie的一部分作为后端数据库的索引，如果对Cookie进行了修改，会造成数据库中同用户无关的那部分数据出现不为人知的改动。许多的用户不知道谁有他们的Cookie的访问权以及对Cookie信息作了些什么，例如Cookie可以在公司间共享，这样就可以被别有用心的非法出售 .
为了证明上述说法，我做了一个简单的测试程序，然后用HttpWatch这款Http嗅探工具，进行嗅探 从图中可以看出 ，能很容易的获得Cookie的值，当然如果是用户自己，那无所谓了，但是一些木马，病毒如果也能够获得，那就泄露了用户的隐私。
此外，Cookie信息由原始服务器不同的另一个服务器进行传递，问题就会变得更加严重。比如有这样一种情形，用户访问门户站点A,网址:www.a.com,A网站要收集用户的信息可以通过以下方式，设置一个专门用于收集信息的站点s.a.com，比如访问 www.a.com/1.aspx,站点A首先将该请求重定向到s.a.com,形成这样的请求 s.a.com/count.aspx?return=www.a.com/1.aspx,这样的话，s.a.com就可以将cookie的信息收集起来，然后再重定向给 www.a.com/1.aspx，但用户并不知道有这么一个繁琐的过程。就像一个人司机接受交警检查，司机出示了驾驶证，交警可能将该驾驶证传递给其他人看，然后再交回司机手里一样，这样司机的隐私信息就有更大的风险被曝漏。如图：

对于服务器而言，Cookie也可能是危险的，比如站点A是一个联盟，他下面有类似于代理的用户，并且分级别，比如代理A,代理B都属于1级代理，1级代理下面有相应的子代理，那么很可能代理A就可以偷窥到代理B的子代理信息，如果服务端权限系统不完善的话，用户A可以仿造一个代理B的标识，利用自己是一级代理的身份绕过一些系统验证，在系统疏忽后者漏洞出冒充代理B。造成对服务器和其他用户的威胁。
  Cookie无疑在web世界中充当了天使，它能够使本来没有状态的HTTP的记性变好，但同时在对用户隐私保证和对服务器潜在威胁上，它可以说是一个恶魔。
使用Cookie的时候一定要注意这样的问题是Cookie是保存在客户端的，服务端这样是删除不了Cookie的，见一哥们这样使用,Response.Cookies.Remove(Response.Cookies[0]);正确使Cookie过期的方式向客户端发送一个过期的同名Cookie即可