cookie 和 sesstion 区别
- cookie 数据存放在客户的浏览器上,session 数据放在服务器上。
- cookie 不是很安全,别人可以分析存放在本地的 COOKIE 并进行 COOKIE 欺骗
考虑到安全应当使用 session。 - session 会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能
考虑到减轻服务器性能方面,应当使用 COOKIE。 - 单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个
cookie。
cookie 和 localStorage 的区别
- cookie 数据始终在同源的 http 请求中携带(即使不需要),即 cookie 在浏览器和服务器间来回传递
- cookie 数据还有路径(path)的概念,可以限制。cookie 只属于某个路径下存储大小限制也不同,cookie 数据不能超过 4K,同时因为每次 http 请求都会携带 cookie,所以 cookie 只适合保存很小的数据,如回话标识。
- localStorage 虽然也有存储大小的限制,但是比 cookie 大得多,可以达到 5M 或更大localStorage 始终有效,窗口或浏览器关闭也一直保存,因此用作持久数据;cookie 只在设置的 cookie 过期时间之前一直有效,即使窗口和浏览器关闭。
- 对于cookie
- value 如果⽤于保存⽤户登录态,应该将该值加密,不能使⽤明⽂的⽤户标识http-only 不能通过 JS 访问 Cookie ,减少 XSS 攻击secure 只能在协议为 HTTPS 的请求中携带same-site 规定浏览器不能在跨域请求中携带 Cookie ,减少 CSRF 攻击