客户端狀態保持是一個老生常談的問題了,歸根結底追蹤瀏覽器的用户身份及其相關數據無非就是以下四種方式:session,cookie,sessionStorage,localStorage。
Cookie機制
如果不在瀏覽器中設置過期時間,cookie被保存在內存中,生命週期隨瀏覽器的關閉而結束,這種cookie簡稱會話cookie。如果在瀏覽器中設置了cookie的過期時間,cookie被保存在硬盤中,關閉瀏覽器後,cookie數據仍然存在,直到過期時間結束才消失。
Cookie是服務器發給客户端的特殊信息,cookie是以文本的方式保存在客户端,每次請求時都帶上它
Session機制
當服務器收到請求需要創建session對象時,首先會檢查客户端請求中是否包含sessionid。如果有sessionid,服務器將根據該id返回對應session對象。如果客户端請求中沒有sessionid,服務器會創建新的session對象,並把sessionid在本次響應中返回給客户端。通常使用cookie方式存儲sessionid到客户端,在交互中瀏覽器按照規則將sessionid發送給服務器。如果用户禁用cookie,則要使用URL重寫,可以通過response.encodeURL(url) 進行實現;API對encodeURL的結束為,當瀏覽器支持Cookie時,url不做任何處理;當瀏覽器不支持Cookie的時候,將會重寫URL將SessionID拼接到訪問地址後。
存儲內容
cookie只能保存字符串類型,以文本的方式;session通過類似與Hashtable的數據結構來保存,能支持任何類型的對象(session中可含有多個對象)
存儲的大小
cookie:單個cookie保存的數據不能超過4kb;session大小沒有限制。
安全性
cookie:針對cookie所存在的攻擊:Cookie欺騙,Cookie截獲;session的安全性大於cookie。
原因如下:
(1)sessionID存儲在cookie中,若要攻破session首先要攻破cookie;
(2)sessionID是要有人登錄,或者啓動session_start才會有,所以攻破cookie也不一定能得到sessionID;
(3)第二次啓動session_start後,前一次的sessionID就是失效了,session過期後,sessionID也隨之失效。
(4)sessionID是加密的
(5)綜上所述,攻擊者必須在短時間內攻破加密的sessionID,並非易事。
應用場景
cookie:
(1)判斷用户是否登陸過網站,以便下次登錄時能夠實現自動登錄(或者記住密碼)。如果我們刪除cookie,則每次登錄必須從新填寫登錄的相關信息。
(2)保存上次登錄的時間等信息。
(3)保存上次查看的頁面
(4)瀏覽計數
session:Session用於保存每個用户的專用信息,變量的值保存在服務器端,通過SessionID來區分不同的客户。
(1)網上商城中的購物車
(2)保存用户登錄信息
(3)將某些數據放入session中,供同一用户的不同頁面使用
(4)防止用户非法登錄
缺點
cookie:
(1)大小受限
(2)用户可以操作(禁用)cookie,使功能受限
(3)安全性較低
(4)有些狀態不可能保存在客户端。
(5)每次訪問都要傳送cookie給服務器,浪費帶寬。
(6)cookie數據有路徑(path)的概念,可以限制cookie只屬於某個路徑下。
session:
(1)Session保存的東西越多,就越佔用服務器內存,對於用户在線人數較多的網站,服務器的內存壓力會比較大。
(2)依賴於cookie(sessionID保存在cookie),如果禁用cookie,則要使用URL重寫,不安全
(3)創建Session變量有很大的隨意性,可隨時調用,不需要開發者做精確地處理,所以,過度使用session變量將會導致代碼不可讀而且不好維護。
説白了,這兩種狀態保持方式都差強人意,於是webStroage應運而生。
WebStorage的目的是克服由cookie所帶來的一些限制,當數據需要被嚴格控制在客户端時,不需要持續的將數據發回服務器。
WebStorage兩個主要目標:(1)提供一種在cookie之外存儲會話數據的路徑。(2)提供一種存儲大量可以跨會話存在的數據的機制。
HTML5的WebStorage提供了兩種API:localStorage(本地存儲)和sessionStorage(會話存儲)。
1、生命週期:localStorage:localStorage的生命週期是永久的,關閉頁面或瀏覽器之後localStorage中的數據也不會消失。localStorage除非主動刪除數據,否則數據永遠不會消失。
sessionStorage的生命週期是在僅在當前會話下有效。sessionStorage引入了一個“瀏覽器窗口”的概念,sessionStorage是在同源的窗口中始終存在的數據。只要這個瀏覽器窗口沒有關閉,即使刷新頁面或者進入同源另一個頁面,數據依然存在。但是sessionStorage在關閉了瀏覽器窗口後就會被銷燬。同時獨立的打開同一個窗口同一個頁面,sessionStorage也是不一樣的。
2、存儲大小:localStorage和sessionStorage的存儲數據大小一般都是:5MB
3、存儲位置:localStorage和sessionStorage都保存在客户端,不與服務器進行交互通信。
4、存儲內容類型:localStorage和sessionStorage只能存儲字符串類型,對於複雜的對象可以使用ECMAScript提供的JSON對象的stringify和parse來處理
5、獲取方式:localStorage:window.localStorage;;sessionStorage:window.sessionStorage;。
6、應用場景:localStoragese:常用於長期登錄(+判斷用户是否已登錄),適合長期保存在本地的數據(令牌)。sessionStorage:敏感賬號一次性登錄;
WebStorage的優點:
(1)存儲空間更大:cookie為4KB,而WebStorage是5MB;
(2)節省網絡流量:WebStorage不會傳送到服務器,存儲在本地的數據可以直接獲取,也不會像cookie一樣美詞請求都會傳送到服務器,所以減少了客户端和服務器端的交互,節省了網絡流量;
(3)對於那種只需要在用户瀏覽一組頁面期間保存而關閉瀏覽器後就可以丟棄的數據,sessionStorage會非常方便;
(4)快速顯示:有的數據存儲在WebStorage上,再加上瀏覽器本身的緩存。獲取數據時可以從本地獲取會比從服務器端獲取快得多,所以速度更快;
(5)安全性:WebStorage不會隨着HTTP header發送到服務器端,所以安全性相對於cookie來説比較高一些,不會擔心截獲,但是仍然存在偽造問題;
(6)WebStorage提供了一些方法,數據操作比cookie方便;
setItem (key, value) —— 保存數據,以鍵值對的方式儲存信息。徹底弄清楚session,cookie,WebStorage的區別及應用場景
本文地址:https://www.linuxprobe.com/session-cookie-webstorage.html
Linux命令大全:https://www.linuxcool.com/
【來源:孫有匪】
聲明:轉載此文是出於傳遞更多信息之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。 郵箱地址:[email protected]