cookies本身没有什么不好,只是被别人利用了,所以才不好。
session在默认情况下是使用客户端的Cookie来保存session id的,所以,如果客户端禁止cookies的话,那么session一样不能使用。
但如果cookies真被禁止的话,.net也可以将会话的标识放在url里来跟踪会话。