【前端学习】前端存储--Cookie、localStorage和sessionStorage

cookie、localStorage和sessionStorage是web开发中客户端存储的三种常用技术。现对三者的特点进行比较如下:

1.存储大小

• cookie: 每条cookie数据大小一般不超过4kB,浏览器对每个域名下的cookie总数量限制在20个左右;
• localStorage和sessionStorage：存储数据量较大，一般能存储5M甚至更高

存储周期

• localStorage能够永久存储直到用户主动清除；
• sessionStorage在当前页面关闭或者浏览器关闭后删除，当前页面永久存储；
• 每个cookie会有有效时间，在过期之前一直有效，过期后浏览器会自动清除；

2.服务器交互

• cookie会在每次发送请求时，跟随报文携带到相应的域名，服务器端可以写cookie发送给客户端；
• localStorage内的数据要想实现通信，需要手动将存储在 LocalStorage 中的数据（例如：JWT（JSON Web Token） 或其他凭证读取出来，并附加到请求的 Authorization 头中发送给服务器） 发送给服务器

3.应用场景

• 标记用户和跟踪用户行为时，推荐使用cookie.例如用户访问页面的次数
• localStorage适合存储需长期保存在本地且不需要频繁更新的数据，例如页面静态资源

4.安全性

cookie:

每次发送请求都需要携带cookie,其信息容易被窃取. 可以通过设置cookie属性来预防一定的安全威胁。

• secure:表明cookie只能通过https协议传输
• HttpOnly：表明cookie不能通过JavaScript访问，可防止跨站脚本攻击
• SameSite: 用于控制浏览器在跨站请求时是否发送该 Cookie。该属性主要有三个值：Strict、Lax 和 None。设置为非None时可以防止跨站请求伪造攻击（CSRF）;
  即使将 SameSite 属性设置为 None，依然可以通过 CSRF Token 来防止 CSRF 攻击。

CSRF Token 是由服务器生成的唯一标识符，在请求时必须包含，并且服务器会验证这个 Token
是否有效。由于攻击者无法轻易获取或伪造合法的 CSRF Token，即使跨站请求中携带了 Cookie，也不会成功进行攻击。

localStorage

localStorage 的最大安全问题是 容易受到 XSS 攻击。如果攻击者成功地在页面中注入恶意 JavaScript 代码，这段代码可以轻松读取和操纵存储在 localStorage 中的数据。因此，如果站点存在 XSS 漏洞，攻击者可以借此窃取用户信息，甚至伪造请求。

原文地址：https://blog.csdn.net/weixin_45626095/article/details/142489562

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！