题外话:虽然没有各种大神的博客阅读量多,但是自己也是希望自己能够将这些博客能够坚持下去,分享自己学到的一点一滴的小的知识点。为自己加油!
在web中,我们经常听到的就是cookie和session的使用和区别。最近在测试过程中,也看到了关于web storage。因为网络的带宽是有限的,所以利用客户端进行存储数据也越来越多,越来越普遍。同样,客户端的存储方式也是多种多样。最简单和易用的方式就是cookie。但是由于cookie本身存储数据大小有限制并且安全性等等问题,所以HTML5就引入了web storage的概念。
下面我们来一一介绍这几种的区别。
一、cookie和session
- cookie的数据存放在用户自身的浏览器中,而session的数据存储在服务器中
- cookie的安全性不是很高,(XSRF攻击中就可以利用cookie信息进行伪造成用户,发送伪造请求,造成攻击),别人可以分析存放在本地cookie,进行cookie欺骗;session的安全性相对于cookie比较高一点。
- session会在一定时间内保存到服务器上,当访问增多时,session就会降低服务器的性能,考虑到减轻服务器性能方面,可以考虑用cookie保存一些暂时性的数据
- session保存的是对象;cookie中保存的是字符串
- cookie中的内容包括名字、值、过期时间、路径和域。而路径和域一起构成了cookie的作用范围。如果cookie设置了相应的路径参数,那么同一个网站的不同路径下的cookie相互之间是访问不到的;而session是保存到服务器,所以所有的session在任何一个地方都可以访问的到。
- cookie的路径和域标明了cookie作用域,cookie的时间,则是表明cookie的生命期。如果不设定cookie的生命期,那么默认的就是浏览器会话期间,关闭浏览器,cookie也会随之消失。这种生命周期的cookie一般称之为会话cookie。会话cookie一般是保存到内存中的。如果cookie设置了过期时间,那么即使关闭了浏览器,cookie也仍有效。这种cookie一般保存到硬盘上。
- 当程序需要给客户端的某个请求创建一个session时,服务器会首先检查这个客户端的请求中是否有session标识,也成为session id。如果客户端请求中已经有了session id,服务器就会按照这个session id把对应的session检索出来。如果客户端的请求中没有session id,那么服务器就会为这个客户端新建一个session id,并且生成一个与此session相关联的session id。一般来说,session id是一个不容易重复也不容易被仿造的字符串。这个新建的session id在本次响应中,返回给客户端进行保存。session id 保存在客户端的方式可以是cookie,在下次请求中,用户的浏览器可以自动的把这个session标识发给服务器,用于查找对应的session。
- 虽然session保存在服务器端,但是session数据也是属于临时会话数据。所以,session数据也会有过期时间,仅会在一段时间内有效,而这个时间就是服务器端设置的session的有效期。服务器端不仅保存session这种临时会话数据,也会保存用户的持久数据。
二、web storage 和cookie
从这个图片中可以看到,web storage有两种,一个是local storage,一个是session storage。
web storage的概念和cookie相似,他们都是保存到用户浏览器中,并且是同源的。在H5引入web storage的时候就是为了更大容量的存储,所以web storage拥有比cookie更大的容量。但是两者之间又是有区别的。
- cookie的作用是与服务器进行交互,也就是cookie在浏览器和服务器间来回进行传递。而 web storage主要是为了本地数据的“存储”,web storage不会主动地将数据发送给服务器,仅仅会在本地保存。
- web storage 有setItem,getItem,removeItem,clear等方法。而cookie需要前端开发者自己封装setCookie,getCookie
- cookie存储的大小限制也不同。cookie的大小限制是4K。因为每次请求都会携带cookie去请求服务器资源,所以cookie也只适合保存很小的数据,比如上面介绍的session id。web storage虽然也会有存储大小的限制,但是相比于cookie来说,会相对大很多,可以达到5M甚至更大。
- 数据有效期不同:
-
- cookie:设置过期时间内有效
- session storage:仅仅在当前浏览器窗口关闭前有效,关闭浏览器,session storage也就消失了
- local storage:始终有效,窗口关闭或者浏览器关闭也一直保存,因此作为持久数据
5. 作用域不同:
-
- cookie:所有同源窗口都是共享的
- session storage:不同浏览器中不能共享,即使是同一个页面。(也就是同一标签页才能共享。)
- local storage:在所有同源窗口(文档源级别)中都是共享的。(只要是URL中的协议、端口、主机名有一个不同,那就是不同源)