Cookie，localstorage，sessionstorage详解

基本概念

Cookie

cookie非常小，它的大小限制为4KB左右，是网景公司的前雇员 Lou Montulli 在1993年3月的发明。它的主要用途有保存登录信息，比如你登录某个网站市场可以看到“记住密码”，这通常就是通过在Cookie中存入一段辨别用户身份的数据来实现的。

这是我之前写过关于Cookie的博客：
Http Cookie解析

localStorage

localStorage 是 HTML5 标准中新加入的技术，它并不是什么划时代的新东西。早在 IE6 时代，就有一个叫 userData的东西用于本地存储，而当时考虑到浏览器兼容性，更通用的方案是使用 Flash。而如今，localStorage被大多数浏览器所支持。

sessionStorage

sessionStorage 与 localStorage 的接口类似，但保存数据的生命周期与localStorage 不同。

sessionStorage 是一个前端的概念，它只是可以将一部分数据在当前会话中保存下来，刷新页面数据依旧存在。但当页面关闭后，sessionStorage中的数据就会被清空。

三者的异同

特性	Cookie	localStorage	sessionStorage
数据的生命期	一般由服务器生成，可设置失效时间。如果在浏览器端生成Cookie，默认是关闭浏览器后失效	除非被清除，否则永久保存	仅在当前会话下有效，关闭页面或浏览器后被清除
存放数据大小	4K左右	一般为5MB	一般为5MB
与服务器端通信	每次都会携带在HTTP头中，如果使用cookie保存过多数据会带来性能问题	仅在客户端（即浏览器）中保存，不参与和服务器的通信	仅在客户端（即浏览器）中保存，不参与和服务器的通信
易用性	需要程序员自己封装，源生的Cookie接口不友好	源生接口可以接受，亦可再次封装来对Object和Array有更好的支持	源生接口可以接受，亦可再次封装来对Object和Array有更好的支持
作用域不同	在所有同源窗口中都是共享的	在所有同源窗口中都是共享的	不在不同的浏览器窗口中共享，即使是同一个页面

应用场景

• Cookie：判断用户是否登录。
  针对登录过的用户，服务器端会在他登录时往Cookie中插入一段加密过的唯一辨识单一用户的辨识码，下次只要读取这个值就可以判断当前用户是否登录啦。

• localStorage：保存用户在电商网站的购物车信息，接替了Cookie 管理购物车的工作；保存HTML5游戏通常会产生一些本地数据；

• sessionStorage：如果遇到一些内容特别多的表单，为了优化用户体验，我们可能要把表单页面拆分成多个子页面，然后按步骤引导用户填写。这时候sessionStorage的作用就发挥出来了。

  例如：在某个招聘网填简历信息时，表单会有好多页。

安全性的考虑

不是什么数据都适合放在 Cookie、localStorage 和 sessionStorage 中的。使用它们的时候，需要时刻注意是否有代码存在XSS注入的风险。因为只要打开控制台，你就随意修改它们的值，也就是说如果你的网站中有XSS 的风险，它们就能对你的 localStorage肆意妄为。所以千万不要用它们存储你系统中的敏感数据。

参考资料：
详说 Cookie, LocalStorage 与 SessionStorage
cookie、 sessionStorage 、localStorage之间的区别和使用