JS之浏览器存储

cookie

H5之前，存储主要用cookie。

cookie是存储在浏览器上的一小段数据，用来记录某些当页面关闭或者刷新后仍然需要记录的信息。在控制台用document.cookie可以查看当前正在浏览网站的cookie。

cookie是http协议的一部分，它的处理分为下面几步：

• 服务器向客户端发送cookie
  • 通常使用HTTP协议规定的set-cookie头操作
  • 规范规定cookie的格式为name=value格式，且必须包含这部分
• 浏览器将cookie保存
• 每次请求浏览器都会将cookie发向服务器

cookie可以使用js在浏览器直接设置（用于记录不敏感信息，如用户名），也可以在服务端使用HTTP协议规定set-cookie来让浏览器种下cookie，这是最常见的做法。

每次网络请求Response headers中都会带上cookie。所以cookie如果太多就会影响传输效率。

一般浏览器存储cookie最大容量为4k，大量数据不要存储到cookie。

设置cookie时的参数：

• path：表示cookie影响到的路径，匹配该路径才发送这个cookie。
• expires和maxAge：告诉浏览器cookie什么时候过期，expires是UTC格式时间，maxAge是cookie多久后过期的相对时间。不设置这两个选项时会产生session cookie，session cookie是transient的，当用户关闭浏览器就会被清除。一般用来保存session的session_id。
• secure：当secure值为true时，cookie在HTTP中是无效的，在HTTPS中才有效。
• httpOnly：浏览器不允许脚本操作document.cookie去更改cookie，一般情况下都应该设置这个为true，这样可以避免被XSS攻击拿到cookie。

session

当用户用账号和密码登录某个网站后，刷新页面仍然保持登录的状态，服务器如何分辨这次发起请求的用户是刚才登录过的用户呢？这里就是用session保存状态。

为什么不用cookie呢？

cookie虽然很方便，但是使用cookie有一个很大的弊端，cookie中的所有数据在客户端就可以被修改，数据非常容易被伪造，那么一些重要的数据就不能放在cookie中了，而且如果cookie中数据字段太多会影响传输效率。为了解决这些问题，就产生了session。

用户在输入用户名密码提交给服务器，服务端验证通过后会创建一个session用于记录用户的相关信息，这个session可保存在服务器内存中也可保存在数据库中。

• 创建session后，会把关联的session_id通过setCookie添加到http相应头部
• 浏览器在加载页面时发现响应头部有set-cookie字段，就把这个cookie种到浏览器指定域名下
• 当下次刷新页面时，发送的请求会带上这条cookie，服务端在接收到后根据这个session_id来识别用户。

cookie是存储在浏览器里的一小段数据，而session是一种让服务器能识别某个用户的机制，session在实现的过程中需要cookie。二者不是一个概念。

localStorage

1. localStorage是H5本地存储web storage特性的API之一，用于将大量数据（最大5M）保存在浏览器中，保存后数据永远存在不会失效过期，除非用js手动清除。

2. 不参与网络传输

3. 一般用于性能优化，可以保存图片、js、css、html模板、大量数据