SessionStorage, LocalStorage, Cookie 这三者都可以被用来在浏览器端存储数据,而且都是字符串类型的键值对。 区别在于前两者属于 Web Storage 包括了两种存储方式:sessionStorage 和 localStorage,创建它们的目的便是存储客户端数据。而 Cookie 早在网景公司的浏览器中就开始支持,最初目的是为了保持 HTTP 的状态。具体 Web Storage API 的使用可以参考 MDN 的文档。
基本概念
Cookie
Cookie 是小甜饼的意思。顾名思义,cookie 确实非常小,它的大小限制为 4KB 左右,是网景公司的前雇员 Lou Montulli 在 1993 年 3 月的发明。它的主要用途有保存登录信息,比如你登录某个网站市场可以看到 “记住密码”,这通常就是通过在 Cookie 中存入一段辨别用户身份的数据来实现的。
localStorage
localStorage 是 HTML5 标准中新加入的技术,它并不是什么划时代的新东西。早在 IE 6 时代,就有一个叫 userData 的东西用于本地存储,而当时考虑到浏览器兼容性,更通用的方案是使用 Flash。而如今,localStorage 被大多数浏览器所支持,如果你的网站需要支持 IE6+,那以 userData 作为你的 polyfill 的方案是种不错的选择。
特性 | Chrome | Firefox (Gecko) | Internet Explorer | Opera | Safari (WebKit) |
---|---|---|---|---|---|
localStorage | 4 | 3.5 | 8 | 10.50 | 4 |
sessionStorage | 5 | 2 | 8 | 10.50 | 4 |
sessionStorage
sessionStorage 与 localStorage 的接口类似,但保存数据的生命周期与 localStorage 不同。做过后端开发的同学应该知道 Session 这个词的意思,直译过来是 “会话”。而 sessionStorage 是一个前端的概念,它只是可以将一部分数据在当前会话中保存下来,刷新页面数据依旧存在。但当页面关闭后,sessionStorage 中的数据就会被清空。
三者的异同
特性 | Cookie | localStorage | sessionStorage |
---|---|---|---|
数据的生命期 | 一般由服务器生成,可设置失效时间。如果在浏览器端生成 Cookie,默认是关闭浏览器后失效 | 除非被清除,否则永久保存 | 仅在当前会话下有效,关闭页面或浏览器后被清除 |
存放数据大小 | 4K 左右 | 一般为 5MB | |
与服务器端通信 | 每次都会携带在 HTTP 头中,如果使用 cookie 保存过多数据会带来性能问题 | 仅在客户端(即浏览器)中保存,不参与和服务器的通信 | |
易用性 | 需要程序员自己封装,源生的 Cookie 接口不友好 | 源生接口可以接受,亦可再次封装来对 Object 和 Array 有更好的支持 |
概念的异同
Cookie 是存储在客户端的小型文本文件,可以包含若干键值对,每个键值对可以设置过期时间(默认过期时间为关闭浏览器时)。 Cookie 会在每次发送 HTTP 请求时附加到Cookie
头字段,服务器以此得知用户所处的状态。 在 HTTP 标准中,规定 Cookie 至少要有 4K,至少支持 300 项 Cookie,每个域名至少支持 20 项。
HTTP 中 Cookie 的规范可以参考:读 HTTP 协议。
SessionStorage 用于本地存储一个会话(session)中的数据,这些数据只有在同一个会话中的页面才能访问并且当会话结束后(关闭标签页,不包括刷新和跳转)数据也随之销毁。因此 SessionStorage 不是一种持久化的本地存储,仅仅是会话级别的存储。
而 LocalStorage 可以在多个标签页中互相访问,用于持久化的本地存储,除非主动删除数据,否则数据是永远不会过期的。
注意 SessionStorage 中的 Session 指的是浏览器会话,而非服务器端通过 Cookie 实现的 Session。参考:Cookie/Session 的机制与安全
应用场景
有了对上面这些差别的直观理解,我们就可以讨论三者的应用场景了。
因为考虑到每个 HTTP 请求都会带着 Cookie 的信息,所以 Cookie 当然是能精简就精简啦,比较常用的一个应用场景就是判断用户是否登录。针对登录过的用户,服务器端会在他登录时往 Cookie 中插入一段加密过的唯一辨识单一用户的辨识码,下次只要读取这个值就可以判断当前用户是否登录啦。曾经还使用 Cookie 来保存用户在电商网站的购物车信息,如今有了 localStorage,似乎在这个方面也可以给 Cookie 放个假了~
而另一方面 localStorage 接替了 Cookie 管理购物车的工作,同时也能胜任其他一些工作。比如 HTML5 游戏通常会产生一些本地数据,localStorage 也是非常适用的。如果遇到一些内容特别多的表单,为了优化用户体验,我们可能要把表单页面拆分成多个子页面,然后按步骤引导用户填写。这时候 sessionStorage 的作用就发挥出来了。
Cookie 的使用
Cookie/Session 的机制与安全中提到了服务器可以在 HTTP 响应中设置set-cookie
字段来设置 Cookie。 事实上客户端也可以操作 Cookie,比如之前的电商网站会使用 Cookie 来存储购物车信息。 客户端 JavaScript 也可以通过浏览器提供的document.cookie
来操作 Cookie,但document.cookie
整个是一个字符串, 所以操作较为复杂,Web 开发中一般倾向于封装 Cookie 的读写操作:
function setCookie(key,value){ var dateStr = (new Date()).toGMTString(); document.cookie = key + "=" + escape(value) + ";expires=" + dateStr; } function getCookie(key){ var idx = document.cookie.indexOf(key + "=") if(idx == -1) return; var start = idx + key.length + 1, end = document.cookie.indexOf(";", idx); if(end==-1) end = document.cookie.length; return unescape(document.cookie.substr(start,end)); }
通过 jQuery-Cookie 插件可以更方便地操作 Cookie:
$.cookie('name', 'value');
$.cookie('name', 'value', { expires: 7 });
$.cookie('name', 'value', { expires: 7, path: '/' }); // 全站有效
$.cookie('name'); // "value"
$.cookie(); // { "name": "value" }
Storage 的使用
LocalStorage/SessionStorage 提供的存储也是基于字符串的键值对,都具有相同的操作方法。可以通过 setItem
,getItem 和 removeItem 等
来访问操作其中的存储项 ( localStorage 和 seesionStorage 可以互换):
localStorage.clear(); // 清除所有的 key/value
localStorage.setItem('key', 'value'); // 将 value 存储到 key 字段
var value = localStorage.getItem('key'); // 获取指定 key 本地存储的值
localStorage.removeItem('key'); // 删除指定 key 本地存储的值
其他操作方法:点操作和 []
Web Storage 不但可以用自身的 setItem,getItem 等方便存取,也可以像普通对象一样用点 (.) 操作符,及 [] 的方式进行数据存储,像如下的代码:
var storage = window.localStorage; storage.key1 = "hello"; storage["key2"] = "world"; console.log(storage.key1); console.log(storage["key2"]);
Web Storage 的 key 和 length 属性实现遍历
sessionStorage 和 localStorage 提供的 key() 和 length 可以方便的实现存储的数据遍历,例如下面的代码:
var storage = window.localStorage; for (var i=0, len = storage.length; i < len; i++){ var key = storage.key(i); var value = storage.getItem(key); console.log(key + "=" + value); }
storage 事件
Storage 还提供了 storage 事件,当键值改变或者 clear 的时候,就可以触发 storage 事件,如下面的代码就添加了一个 storage 事件改变的监听:
if(window.addEventListener){ window.addEventListener("storage",handle_storage,false); }else if(window.attachEvent){ window.attachEvent("onstorage",handle_storage); } function handle_storage(e){ if(!e){e=window.event;} }
存储 Json
因为它只能存储字符串,要存 JSON 只能序列化为字符串:
var testObject = { 'one': 1, 'two': 2, 'three': 3 };
// Put the object into storage
localStorage.setItem('testObject', JSON.stringify(testObject));
// Retrieve the object from storage
var retrievedObject = localStorage.getItem('testObject');
console.log('retrievedObject: ', JSON.parse(retrievedObject));
安全性的考虑
需要注意的是,不是什么数据都适合放在 Cookie、localStorage 和 sessionStorage 中的。使用它们的时候,需要时刻注意是否有代码存在 XSS 注入的风险。因为只要打开控制台,你就随意修改它们的值,也就是说如果你的网站中有 XSS 的风险,它们就能对你的 localStorage 肆意妄为。所以千万不要用它们存储你系统中的敏感数据。