一、cookie、sessionStorage、localStorage的區(qū)別

1、存儲空間不同

Cookie：每個 Cookie 的大小一般不能超過 4KB。sessionStorage：某些瀏覽器支持的大小為 5MB，但是不同瀏覽器的具體實現(xiàn)有所不同。localStorage：某些瀏覽器支持的大小為 5MB，但是不同瀏覽器的具體實現(xiàn)有所不同。

2、存儲方式不同

Cookie：存儲在瀏覽器的“cookie文件夾”中，保存在用戶的磁盤上。每次訪問相同的域名時，瀏覽器都會將存儲在 cookie 文件夾中的 Cookie 信息發(fā)送給服務(wù)器。sessionStorage：保存在瀏覽器的“sessionStorage數(shù)據(jù)庫”中， 當(dāng)會話結(jié)束，這部分存儲的信息也會被清除。與 localStorage 相似，sessionStorage 也只能存儲字符串類型的數(shù)據(jù)。localStorage：保存在瀏覽器的“l(fā)ocalStorage數(shù)據(jù)庫”中，不會隨著 HTTP 請求發(fā)送到服務(wù)器上，即僅在客戶端（瀏覽器）本地存儲，并始終可用于同一瀏覽器和同一服務(wù)器。localStorage 只能存儲字符串類型的數(shù)據(jù)。

3、生命周期不同

Cookie：生命周期可以設(shè)置，可以在指定的時間之前保存，當(dāng)?shù)竭_(dá)指定時間后 Cookie 就會自動失效；也可以設(shè)置為關(guān)閉瀏覽器后就過期；還可以設(shè)置為只在當(dāng)前會話中有效，即關(guān)閉頁面后就自動刪除。sessionStorage：存儲的數(shù)據(jù)僅在會話期間存在，即只在瀏覽器打開期間存在，關(guān)閉窗口或者瀏覽器后數(shù)據(jù)會被刪除。localStorage：存儲的數(shù)據(jù)長期存在，一直存在瀏覽器本地。

二、cookie介紹

1、簡介

Cookie 并不是它的原意“甜餅”的意思，而是一個保存在客戶機中的簡單的文本文件, 這個文件與特定的?Web?文檔關(guān)聯(lián)在一起，保存了該客戶機訪問這個Web 文檔時的信息，當(dāng)客戶機再次訪問這個 Web 文檔時這些信息可供該文檔使用。由于“Cookie”具有可以保存在客戶機上的神奇特性，因此它可以幫助我們實現(xiàn)記錄用戶個人信息的功能，而這一切都不必使用復(fù)雜的CGI等程序。

舉例來說，一個 Web 站點可能會為每一個訪問者產(chǎn)生一個少數(shù)的ID，然后以 Cookie 文件的形式保存在每個用戶的機器上。如果使用瀏覽器訪問?Web，會看到所有保存在硬盤上的 Cookie。在這個文件夾里每一個文件都是一個由“名/值”對組成的文本文件，另外還有一個文件保存有所有對應(yīng)的 Web 站點的信息。在這里的每個 Cookie 文件都是一個簡單而又普通的文本文件。透過文件名，就可以看到是哪個 Web 站點在機器上放置了Cookie（當(dāng)然站點信息在文件里也有保存）。所謂“cookie”數(shù)據(jù)是指某些網(wǎng)站為了辨別用戶身份，儲存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過加密），由用戶客戶端計算機暫時或永久保存的信息。通俗來講就是指緩存數(shù)據(jù)，包括用戶名、密碼、注冊賬戶、手機號等公民個人信息。

2、組成

Cookie是一段不超過4KB的小型文本數(shù)據(jù)，由一個名稱（Name）、一個值（Value）和其它幾個用于控制Cookie有效期、安全性、使用范圍的可選屬性組成。其中：

Name/Value：設(shè)置Cookie的名稱及相對應(yīng)的值，對于認(rèn)證Cookie，Value值包括Web服務(wù)器所提供的訪問令牌。Expires屬性：設(shè)置Cookie的生存期。有兩種存儲類型的Cookie：會話性與持久性。Expires屬性缺省時，為會話性Cookie，僅保存在客戶端內(nèi)存中，并在用戶關(guān)閉瀏覽器時失效；持久性Cookie會保存在用戶的硬盤中，直至生存期到或用戶直接在網(wǎng)頁中單擊“注銷”等按鈕結(jié)束會話時才會失效。Path屬性：定義了Web站點上可以訪問該Cookie的目錄?。Domain屬性：指定了可以訪問該 Cookie 的 Web 站點或域。Cookie 機制并未遵循嚴(yán)格的同源策略，允許一個子域可以設(shè)置或獲取其父域的 Cookie。當(dāng)需要實現(xiàn)單點登錄方案時，Cookie 的上述特性非常有用，然而也增加了 Cookie受攻擊的危險，比如攻擊者可以借此發(fā)動會話定置攻擊。因而，瀏覽器禁止在?Domain?屬性中設(shè)置.org、.com 等通用拔尖域名、以及在國家及地區(qū)拔尖域下注冊的二級域名，以減小攻擊發(fā)生的范圍。Secure屬性：指定是否使用HTTPS安全協(xié)議發(fā)送Cookie。使用HTTPS安全協(xié)議，可以保護Cookie在瀏覽器和Web服務(wù)器間的傳輸過程中不被竊取和篡改。該方法也可用于Web站點的身份鑒別，即在HTTPS的連接建立階段，瀏覽器會檢查Web網(wǎng)站的SSL證書的有效性。但是基于兼容性的原因（比如有些網(wǎng)站使用自簽署的證書）在檢測到SSL證書無效時，瀏覽器并不會立即終止用戶的連接請求，而是顯示安全風(fēng)險信息，用戶仍可以選擇繼續(xù)訪問該站點。由于許多用戶缺乏安全意識，因而仍可能連接到Pharming攻擊所偽造的網(wǎng)站。HTTPOnly屬性 ：用于防止客戶端腳本通過document.cookie屬性訪問Cookie，有助于保護Cookie不被跨站腳本攻擊竊取或篡改。但是，HTTPOnly的應(yīng)用仍存在局限性，一些瀏覽器可以阻止客戶端腳本對Cookie的讀操作，但允許寫操作；此外大多數(shù)瀏覽器仍允許通過XMLHTTP對象讀取HTTP響應(yīng)中的Set-Cookie頭。

三、sessionStorage的用法

sessionStorage用于本地存儲一個會話（session）中的數(shù)據(jù)，這些數(shù)據(jù)只有在同一個會話中的頁面才能訪問并且當(dāng)會話結(jié)束后數(shù)據(jù)也隨之銷毀。因此sessionStorage不是一種持久化的本地存儲，僅僅是會話級別的存儲。下面是其用法：

四、localStorage的使用方法

存值共有3種方式，localStorage相當(dāng)于window對象下面的一個屬性，所以有[ ]和.調(diào)用，但也具有自身的setItem方法。下面是代碼示例：

// 自身方法localStorage.setItem("name","bonly");// []方法localStorage["name"]="bonly";// .方法localStorage.name="bonly";

取值也是如此，自身的方法是getItem。下面是代碼示例：

// 自身方法localStorage.getItem("name");// []方法localStorage["name"];// .方法localStorage.name;

改變的方式，就是相當(dāng)于給對應(yīng)的key重新賦值，就會把原來的值覆蓋掉。下面是代碼示例：

// 自身方法localStorage.setItem("name","TOM");// []方法localStorage["name"]="TOM";// .方法localStorage.name="TOM";

延伸閱讀1：惡意cookie介紹

Cookies 是文本文件， 一般情況下認(rèn)為它不會造成安全威脅。 但是，如果在 Cookies 中通過特殊標(biāo)記語言，引入可執(zhí)行代碼，就很可能給用戶造成嚴(yán)重的安全隱患。HTML 為區(qū)別普通文本和標(biāo)記語言，用符號“<>”來指示HTML 代碼。 這些 HTML 代碼或者定義 Web 網(wǎng)頁格式，或者引入 Web 瀏覽器可執(zhí)行代碼段。 Web 服務(wù) 器可以使用Cookies 信息創(chuàng)建動態(tài)網(wǎng)頁。假使 Cookies 包含可執(zhí)行惡意代碼段，那么在顯示合成有該 Cookies 的網(wǎng)頁時，就會自動執(zhí)行這段惡意代碼。當(dāng)然，惡意代碼能否真正造成危害，還取決于Web 站點的安全配置策略。