解决方法
在所有情况下,这些存储机制将特定于单个计算机/设备上的各个浏览器。任何跨会话存储数据的需求都需要涉及应用程序服务器端 – 最有可能使用数据库,但可能是XML或文本/ CSV文件。
localStorage,sessionStorage和cookies都是客户端存储解决方案。会话数据保存在服务器上,它保持在您的直接控制之下。
localStorage和sessionStorage
localStorage和sessionStorage是相对较新的API(意味着不是所有的传统浏览器都将支持它们),并且几乎相同(在API和能力上),唯一的例外是持久性。 sessionStorage(顾名思义)只在浏览器会话期间可用(并且在窗口关闭时删除) – 但它仍然存在页面重新加载(源DOM Storage guide – Mozilla Developer Network)。
显然,如果您存储的数据需要持续可用,那么localStorage比sessionStorage更可取 – 尽管您应该注意两者都可以由用户清除,因此您不应该依赖于两种情况下持续存在的数据。
localStorage和sessionStorage非常适合在页面之间持久保存客户端脚本中需要的非敏感数据(例如:偏好,游戏中的分数)。存储在localStorage和sessionStorage中的数据可以从客户端/浏览器中轻松读取或更改,因此不应依赖于在应用程序中存储敏感或安全相关的数据。
饼干
这也是真的对于cookie,这些可以被用户轻易篡改,数据也可以从它们以纯文本读取 – 所以如果你想要存储敏感数据,那么会话是真正你唯一的选择。如果您不使用SSL,Cookie信息也可能在传输中被拦截,特别是在打开的WiFi上。
在积极的一面,Cookie可以通过设置HTTP只有标志,这意味着现代(支持)浏览器将阻止访问来自JavaScript的Cookie和值,从而防止安全风险(如跨站点脚本(XSS)/脚本注入)这也会阻止你自己的,合法的JavaScript访问它们)。这对于身份验证cookie尤其重要,后者用于存储包含登录用户详细信息的令牌 – 如果您拥有该cookie的副本,那么对于所有意图和目的,您就成为该用户,直到Web应用程序并且具有对用户具有的数据和功能的相同访问。
由于cookie用于身份验证和用户数据的持久性,所以对于同一域的每个请求,所有对页面有效的cookie都从浏览器发送到服务器 – 这包括原始页面请求,任何后续Ajax请求,所有图像,样式表,脚本和字体。因此,Cookie不应用于存储大量信息。浏览器还可以对可以存储在cookie中的信息的大小施加限制。通常,cookie用于存储用于认证,会话和广告跟踪的标识令牌。标记本身通常不是人类可读的信息,而是与应用程序或数据库相关联的加密标识符。
localStorage vs. sessionStorage vs. Cookie
在功能方面,Cookie只允许您存储字符串。 sessionStorage和localStorage允许您存储JavaScript基元,但不能存储对象或数组(可以使用JSON串行化它们以使用API存储它们)。会话存储通常允许您存储服务器端语言/框架支持的任何原语或对象。
客户端与服务器端
由于HTTP是无状态协议 – 网络应用程序无法在返回网站时从之前的访问中识别用户 – 会话数据通常依靠Cookie令牌来识别用户进行重复访问(尽管很少会使用网址参数相同的目的)。数据通常具有滑动到期时间(每次用户访问时更新),并且根据您的服务器/框架数据将被存储在进程中(意味着如果Web服务器崩溃或重新启动,数据将丢失)状态服务器或数据库。在使用网络场(给定网站有多个服务器)时,这也是必需的。
由于会话数据完全由您的应用程序(服务器端)控制,因此它是任何敏感或安全的最佳位置。
服务器端数据的明显缺点是可伸缩性 – 在会话期间每个用户需要服务器资源,并且任何需要的客户端数据必须与每个请求一起发送。由于服务器无法知道用户是否导航到其他站点或关闭其浏览器,会话数据必须在给定时间后过期,以避免所有服务器资源被放弃的会话占用。因此,在使用会话数据时,应注意数据已过期并丢失的可能性,尤其是在具有长表单的页面上。如果用户删除其Cookie或切换浏览器/设备,它也将丢失。
一些Web框架/开发人员使用隐藏的HTML输入将数据从表单的一个页面持久保存到另一个页面,以避免会话到期。
localStorage,sessionStorage和cookie都受“同源”规则约束,这意味着浏览器应该阻止访问除了设置信息开始的域之外的数据。
有关客户端存储技术的进一步阅读,请参阅Dive Into Html 5。