假設我拿到了別的用戶的淘寶網站的cookie？

就這個問題，理解了http協議就知道了。本題按常識來說就不可能會冒充用戶，那么大的平臺怎么可能安全度那么低。

脫離常識，好好掰扯掰扯http協議才有意思。http的下層是tcp協議，tcp協議是面向連接的。http實現的時候，服務器在對客戶端請求做出響應后，會主動斷開連接，所以一個http請求是tcp連接到斷開的一套操作。所以每次http請求都是無狀態，獨立的，互不聯系的，也就是上次請求和下次請求沒任何關系。為了讓http請求間產生聯系，于是就有了會話和cookie。那么會話和cookie到底是什么？你甚至可以把他倆理解成是一個東西。

http協議的一個請求由請求行、請求頭和請求數據組成，這個知識點可以自己百度。cookie其實就是請求頭中的一個，它其實就是個字符串，這個字符串保存著session的唯一標識或者服務器想讓保存的信息。那么這倆東西是咋用的，又是如何讓多個請求聯系到一起的呢？

當你使用瀏覽器第一次訪問某個網站的時候，http請求是不帶cookie的，如果服務器使用了session或者cookie，就會在http響應中的響應頭中帶上cookie返回給瀏覽器。http響應和請求差不多，可以自行百度。瀏覽器收到cookie就會保存起來，同時，服務器也會把session保存起來，保存的形式可能是個文件，也可能是文件中的字符串，也可能是數據庫中的一個記錄等等。前面說過，cookie中保存著session的唯一標識，這樣當瀏覽器再次請求的時候，會帶上cookie，服務器就會知道請求的是那個session，這樣，相互獨立的http請求就產生了聯系！

題目可能沒這么復雜，也沒提到session，所以就更簡單了！cookie如果不保存session的唯一標識，那可能會保存用戶的賬號和密碼。如果服務器不做任何安全驗證，那么肯定可以冒充用戶。這和普通的用戶登錄沒啥區別！

但是就常識而言，淘寶網站不可能不做任何的安全驗證，具體如何驗證的我也不知道，有可能通過ip，有可能在cookie的基礎上加個token或者其他什么的請求頭！