cookie, localStorage, sessionStorage

[anjia]

概况

相同点：

• 都是客户端存储
• 都遵循同 origin 策略
  • origin = 协议 + 域名 + 端口号
  • 更多什么是跨域
• 都只支持 string 类型的存储
  • key 和 value 都是 String

不同点：

	cookie	localStorage	sessionStorage
作用域	origin + path 当 path 是 '/' 时，则是 origin	origin	origin + tab
失效期	一般由服务器生成，并设置失效时间；若在客户端设置，默认是浏览器关闭/max-age	持久型/主动删除	当前页签关闭
大小限制	每条 cookie 约 4KB / 个数限制	大约 5MB
HTTP 请求是否携带	是	否
安全	尽量加密 / HTTP only	若取, 注意XSS攻击
使用时	有库-封装	也可封, eg.方便存 JSON, Array 等

客户端存储时，别人都可随便修改 需注意安全方面。eg.加密、防止 XSS 攻击、防止恶意修改 当涉及敏感信息时，尤其注意。eg.钱、订单

大小限制，不同浏览器的实现会略不一样。 RFC 2965 的推荐标准：

• cookie 总个数不超过 300 个，每个 origin 下不超过 20 个，每个 cookie 大小不超过 4KB
• localStorage、sessionStorage 可达 8M

cookie

cookie 的设计比较早，它作为 HTTP 协议的一种扩展，数据会自动在客户端和服务器之间传输。

所以，要在 cookie 里放数据时，尤其考虑此特性。以及安全性。

cookie 的限制：

• 个数：每个域名大约 30/50 个，也有浏览器不限制个数
  • 若超过个数，一般按最近最少使用策略剔除老的
• 大小限制：每条大约 4KB
  • 若超过大小了，再设置会被直接忽略

sessionStorage

它和 localStorage 的唯一区别，就在于有效期。

• 仅当前的会话窗口有效，刷新页面时存在
• 若是不同的页签，即便是相同的 origin 也无法共享

localStorage

说说处理它时的注意事项：

• 注意安全错误。因为用户可能将其浏览器配置为 specified origin 时禁止访问
• setItem()时记得捕获异常
  • 存储空间满了，会抛异常
  • 隐身模式下，有些浏览器会抛出异常。eg. Mobile Safari 会将配额设置为 0
• 浏览器兼容问题
  • 它的大小，不同浏览器会略不同
  • 低版本浏览器可能不支持
  • 隐身模式下，不同浏览器处理也不同

这里有个 localStorage 的在线例子，可以感受下浏览器兼容性 https://mdn.github.io/dom-examples/web-storage/