如何选择一个合适的Web存储方案

在Web应用开发中，如何选择一个合适的Web存储方案呢？文章介绍了Cookie、WebStorage和IndexedDB等常见的Web存储技术。包括它们的技术背景、原理和应用场景，理解这些知识将有助于我们制定更合理的Web方案。

一. Cookie

Cookie解决了HTTP协议无状态的问题：即HTTP请求/响应本身不保存会话状态。对于交互式Web应用，会话状态一般会随着用户操作发生改变的。例如以下场景：

而Cookie就是解决HTTP协议无状态的一种方法。Cookie是存储在浏览器本地的数据，通过HTTP请求报文头传递到服务端。以上面的用户登录状态为例：

当用户登录后，服务端生成一个Cookie并返回给浏览器，浏览器下次请求时带上Cookie，这样服务端就可以通过Cookie信息判断用户登录状态。

PS：一般把真实信息存放在数据库，然后关联一个token存放到Cookie中。

Cookie是服务端返回给浏览器并保存在本地的数据，浏览器下次请求同一服务端时会携带Cookie传递给服务端。通常，它用于告知服务端两个请求是否来源于同一浏览器。

常见应用场景：

当服务端接收到 HTTP 请求时，可以通过 Set-Cookie响应报文头设置Cookie信息。浏览器收到响应后会保存 Cookie，之后对该服务端的每一次请求都通过 Cookie请求报文头携带Cookie信息发送给服务端。

响应报文：

HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: tasty_cookie=strawberry

[页面内容]

请求报文：

GET /sample_page.html HTTP/1.1
Host: www.example.org
Cookie: yummy_cookie=choco; tasty_cookie=strawberry

PS：浏览器端也可以通过document.cookie api读写cookie。

示例：

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT;

domain 和 path 定义了Cookie的作用域：即允许 Cookie 被发送给哪些URL。domain默认是origin的域名。

示例：

set-cookie: token=123; domain=.bing.com;path=/;

Cookie可以在子域名之间共享。例如，单点登录：用户在门户网站boss.com登录后保存Cookie，之后进入子网站a.boss.com时会携带Cookie，服务端就知道是哪个用户了。
Cookie禁止跨域。当domain指定为第三方域名时无效。例如：在a.example.com网站设置domain为b.example.com时无效。

与Cookie相关的安全问题有：man-in-the-middle attack、XSS和CSRF。对应的Cookie安全属性有：

防止man-in-the-middle attack。

Cookie通过HTTP报文在浏览器和服务端之间传输，有man-in-the-middle attack的风险。而 Secure属性要求Cookie 只能被 HTTPS请求携带，从而保证Cookie的安全传输。

但是，只要能访问到客户端硬盘的人依然可以读取到Cookie。所以Cookie不应该携带敏感信息。

防止XSS。

HttpOnly属性表示不允许浏览器端脚本读写Cookie，这可以防止XSS（跨站脚本攻击）。

PS：Cookie本职工作就是帮助服务端辨别请求来源的，对浏览器端程序应该是透明的，这种情况应该带上HttpOnly属性。

防范第三方Cookie存在的CSRF风险。

当Cookie的domain属性不是当前网站域名和父级域名时，称为第三方Cookie。第三方Cookie存在CSFR风险。示例：

Set-Cookie：token=jeif；domain=bank.example.com

<img src="http://bank.example.com/transferAccount" />

SameSite有以下三个值：

Strict是严格限制第三方Cookie的，这会导致从外部站点导航至目标URL时，都要重新登录。默认使用Lax，允许在第三方网站中，导航到目标网站的get请求携带Cookie，例如、和