L'unico dato nel cookie è l'ID di sessione. Non esiste una data / ora di scadenza impostata al momento della sua creazione, una sessione viene sempre valutata lato server per vedere se è scaduta.
Quando si disconnette, la sessione viene distrutta sul lato server. C'è qualche punto allora nello scadere del cookie?
Dire al browser di scadere il cookie è solo una forma di convenienza, perché l'utente è sempre in grado di sovrascriverlo. Dopotutto, il cookie è davvero sul suo browser, quindi controllerai sempre la scadenza della sessione sul lato server.
Detto questo, ti consiglio comunque di impostare una data di scadenza sui cookie. È un'informazione presente nel browser dell'utente e, quando non è più necessaria, non è una cattiva idea dire al browser di sbarazzarsene.
Anche se non rappresenterebbe un rischio diretto, lo farei comunque. È solo una riga di codice in più, quindi perché no.
Tecnicamente, non puoi scadere un cookie di sessione-- nel momento in cui imposti una data di scadenza, diventa un cookie persistente .
Penso che quello che intendi chiedere è "È meglio memorizzare un ID di sessione in un cookie di sessione o in un cookie persistente?" Vorrei raccomandare un cookie di sessione, poiché è conservato solo in memoria e rimosso dal contenitore dei cookie nel momento in cui l'utente chiude il browser. Se si utilizza un cookie persistente, esso viene memorizzato nel filesystem e non viene rilasciato fino alla sua scadenza o fino a quando l'utente non fa clic sul pulsante di disconnessione, e talvolta dimentica. Il cookie persistente resterà un po 'fermo, il che significa che un utente malintenzionato potrebbe venire avanti qualche istante dopo, aprire un browser e riprendere la sessione dell'utente.
Leggi altre domande sui tag cookies web-application