cookie虽然在持久保存客户端数据提供了方便，分担了服务器存储的负担，但还是有很多局限性的。

优点：极高的扩展性和可用性

①.通过良好的编程，控制保存在cookie中的session对象的大小。

②.通过加密和安全传输技术（SSL），减少cookie被破解的可能性。

③.只在cookie中存放不敏感数据，即使被盗也不会有重大损失。

④.控制cookie的生命期，使之不会永远有效。偷盗者很可能拿到一个过期的cookie。

缺点：

①.`Cookie`数量和长度的限制。每个domain最多只能有20条cookie（IE6或更低版本最多20个cookie，IE7及之后可以有50个cookie，firefox最多50个cookie），每个cookie长度不能超过4KB，否则会被截掉。

②.安全性问题。如果cookie被人拦截了，那人就可以取得所有的session信息。即使加密也与事无补，因为拦截者并不需要知道cookie的意义，他只要原样转发cookie就可以达到目的了。

③.有些状态不可能保存在客户端。例如，为了防止重复提交表单，我们需要在服务器端保存一个计数器。如果我们把这个计数器保存在客户端，那么它起不到任何作用。