localStorage,sessionStorage 和 cookie #82
Assignees
Labels
Comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
localStorage,sessionStorage 和 cookie
0.cookie 相关链接
把 cookie 聊清楚(cookied 有哪些属性)·掘金
Chrome 新的 Cookie 策略 SameSite·知乎
Cookie 的 SameSite 属性·掘金
1.cookie 的 HttpOnly 属性
如果
cookie中设置了HttpOnly属性,那么通过js 脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取 cookie 内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是 Web 程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当其它用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面结构、重定向到其它网站等。2.localStorage,sessionStorage 和 cookie 区别
关于 Cookie、session 和 Web Storage
localStorage、sessionStorage、cookie、session 几种 web 数据存储方式对比总结
http请求中携带(即使不需要),即cookie在浏览器和服务器间来回传递。cookie数据还有路径(path)的概念,可以限制cookie只属于某个路径下cookie数据不能超过 4K,同时因为每次http请求都会携带cookie、所以cookie只适合保存很小的数据,如会话标识。sessionStorage和localStorage虽然也有存储大小的限制,但比cookie大得多,可以达到 5M 或更大sessionStorage:仅在当前浏览器窗口关闭之前有效localStorage:始终有效,窗口或浏览器关闭也一直保存,本地存储,因此用作持久数据cookie:只在设置的cookie过期时间之前有效,即使窗口关闭或浏览器关闭sessionStorage**不在不同的浏览器窗口中共享,即使是同一个页面;localStorage**在所有同源窗口中都是共享的;也就是说只要浏览器不关闭,数据仍然存在cookie: 也是在所有同源窗口中都是共享的.也就是说只要浏览器不关闭,数据仍然存在3.关于 cookie 的设置
HTTP 篇之 cookie 设置(前端和后台)
前端代码:
XMLHttpRequest发送请求时需要设置withCredentials属性为true,来允许浏览器在自己的域设置cookie值。如果
withCredentials没有设置为true,就会出现Response Headers有Set-Cookie,但是浏览器却没有存储cookie的情况。后端代码:
后台设置的
Access-Control-Allow-Credentials和前台设置的withCredentials都为true的时候才会自动写到浏览器cookie里面Access-Control-Allow-Origin是允许跨源的,通常设置为'*'。但是设置了Access-Control-Allow-Credentials后,就必须写跟Request Headers的Origin相同的地址了。如下图所示:
The text was updated successfully, but these errors were encountered: