深入解析 Cookie、sessionStorage 和 localStorage 的区别
Cookie、sessionStorage、localStorage 这三个东西,日常开发里几乎天天见:登录态、埋点、用户偏好、临时缓存……
它们的区别不只是“大小不一样”,更关键的是:生命周期、是否随请求携带、以及安全边界。选错了要么拖慢请求,要么埋下安全坑。
1. 容量限制与数据格式
| 存储方式 | 容量限制 | 数据格式 |
|---|---|---|
| Cookie | 4KB | 只能存储字符串 |
| sessionStorage | 约 5MB | 只能存储字符串(可转换为 JSON) |
| localStorage | 约 5MB | 只能存储字符串(可转换为 JSON) |
补一句:虽然 sessionStorage/localStorage 只能存字符串,但可以用 JSON.stringify() 存对象,取出时 JSON.parse() 还原。
1 | const user = { name: "张三", age: 25 }; |
2. 生命周期
| 存储方式 | 生命周期 |
|---|---|
| Cookie | 可设置过期时间(会话级或持久化) |
| sessionStorage | 仅在当前标签页(session)有效,关闭页面即清除 |
| localStorage | 永久存储,除非手动删除或用户清理缓存 |
很多人会误以为 sessionStorage 是“关闭浏览器就清”,更准确的说法是:它跟着 tab 走,关掉那个标签页就清,其他标签页互不影响。
3. 数据传输与请求影响
| 存储方式 | 是否随 HTTP 请求发送 |
|---|---|
| Cookie | 是(默认随每个请求发送) |
| sessionStorage | 否(存储仅限于前端) |
| localStorage | 否(存储仅限于前端) |
性能影响: 由于 Cookie 会在每次请求时被自动携带,过多的 Cookie 可能会影响页面加载速度。因此,在存储不需要与服务器交互的数据时,推荐使用 sessionStorage 或 localStorage。
4. 安全性对比
| 存储方式 | XSS 攻击风险 | CSRF 攻击风险 |
|---|---|---|
| Cookie | 高(可用 HttpOnly 降风险) | 高(请求自动携带) |
| sessionStorage | 高(JS 可访问) | 低(不会随请求发送) |
| localStorage | 高(JS 可访问) | 低(不会随请求发送) |
安全性建议:
- Cookie: 使用
HttpOnly防止 JavaScript 访问,使用Secure仅允许 HTTPS 传输。 - localStorage & sessionStorage: 防范 XSS 攻击,避免直接存储敏感信息,如 JWT Token 建议存放在
HttpOnly Cookie。
5. 适用场景
| 场景 | 推荐使用的存储方式 |
|---|---|
| 用户登录状态(长时间保持) | Cookie(带 HttpOnly) |
| 短期数据存储(如表单未提交内容) | sessionStorage |
| 持久化用户偏好设置 | localStorage |
| 避免请求时携带额外数据 | sessionStorage/localStorage |
6. 实战里怎么选?
最常见的争议点是“Token 放哪”。我的原则很简单:
- 能用
HttpOnly Cookie就优先用(JS 读不到,XSS 风险小很多) - 必须前端可读的东西(比如一些非敏感缓存),再考虑 sessionStorage/localStorage
- 别把敏感信息当成“方便调试”随手塞 localStorage,后面安全测试一定会找上门
7. 总结
| 关键点 | Cookie | sessionStorage | localStorage |
|---|---|---|---|
| 存储大小 | 4KB | 约 5MB | 约 5MB |
| 生命周期 | 可持久化 | 仅限当前会话 | 永久存储 |
| 是否随请求发送 | 是 | 否 | 否 |
| XSS 安全风险 | 高(可用 HttpOnly 保护) | 高 | 高 |
| CSRF 安全风险 | 高(自动携带) | 低 | 低 |
| 适用场景 | 服务器通信、认证 | 短期存储 | 持久化存储 |
8. 一个我踩过的坑
有一次做后台系统,为了省事把 JWT Token 放在了 localStorage。后来安全同学做 XSS 演练时,直接把 Token 拿走并复用,整套会话就被劫持了。
最后的修复方案其实不复杂:把认证信息挪到 HttpOnly Cookie,再把 XSS 防护当成常规质量去做(CSP、输入输出转义、依赖治理)。那次之后我对“存储位置”这件事就特别谨慎了。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 林克日记!
相关推荐
2018-04-12
循环渲染中为何不建议用 index 做 key?
key 这个东西,你可能一开始只是为了消掉 React 的 warning 才加上去的。 但它其实会直接影响“列表更新时组件怎么复用”。用对了,你的输入框不会串行、展开态不会乱跳;用错了(尤其是用 index),有些 bug 会特别诡异:看起来像状态乱了,但其实是组件被 React 复用错了。 key 的作用1. 唯一标识每个列表项当你通过循环渲染一个列表时,每个列表项都需要一个独一无二的标识符,这就是 key 的作用。通过 key,框架能够准确地识别出每个元素,确定它们在数据更新时的变化。 例如,在 React 中,key 用于帮助虚拟 DOM 快速判断哪些元素发生了改变、哪些需要重新渲染或移除,从而提高页面更新的性能。 2. 保持组件状态使用正确的 key,可以确保在列表项发生增删或重新排序时,各个组件的内部状态能够正确地保留和复用。例如,如果你有一个表单组件列表,使用唯一的 key 能保证当用户在一个输入框中输入内容后,列表重新排序时,输入框中的数据不会错误地传递到其他组件上。 为什么不推荐使用 index 作为 key?1. 列表项顺序不稳定当列表项的顺序发生变化时...
2022-07-24
什么是 requestIdleCallback?
你有没有写过这种代码:页面一打开,你顺手就想做点“顺便的事”——埋点、预加载、计算一堆东西、顺手还想把用户最近浏览记录也整理一下。 然后你发现:用户的顺便 = 主线程的噩梦。 requestIdleCallback 的思路很朴素:正事(输入、滚动、动画、渲染)优先,剩下的等浏览器“喘口气”再做。像你在工位被人叫住:“哥你先把线上故障处理了,我这 PPT 不急,等你空了再说。” 先一句话:requestIdleCallback 是啥?requestIdleCallback(cb) 用来注册一个回调:当浏览器主线程出现空闲(idle)时,尽量调用它,让你在“不会影响用户交互”的时间片里做一些不紧急的工作。 几个关键词你得先记住: 它是“尽量”,不是“保证” 它面向的是主线程的空闲时间(不是 Web Worker 那种真并行) 它更适合“可切片、可中断”的任务 为什么会有“空闲”这种东西?浏览器主线程平时主要忙这些: 跑 JS 样式计算 / 布局 / 绘制 处理输入事件(点击、滚动、键盘) 合成与动画调度 如果你在关键路径里塞了一个大计算,用户...
2023-06-25
JS超过Number最大值的数怎么处理?
前端最容易踩的大数坑通常有两类: 金额、计数、ID 这类“看起来是整数”的东西,一旦超过 2^53 - 1(Number.MAX_SAFE_INTEGER),就会开始丢精度; 真的特别大的浮点数,超过 Number.MAX_VALUE 直接变成 Infinity。 原因也很简单:JavaScript 的 Number 用的是 IEEE 754 双精度浮点。它能表示很大的范围,但整数精度只有 53 位。 超出 Number.MAX_VALUE:超出此值的数值会变为 Infinity。 超过安全整数范围:大于 Number.MAX_SAFE_INTEGER 的整数可能会失去精度。 遇到这些问题时,别急着“找一个库来解决”。先想清楚:你要处理的是“大整数”、还是“高精度小数”(比如金融)?两者方案不一样。 使用 BigIntES2020 引入了 BigInt,用来表示任意大小的整数。它的心智模型也很直接:只要是整数,就不会丢精度。 123// 创建一个超过 Number.MAX_SAFE_INTEGER 的整数const bigIntValue = 900719925474...
2017-12-01
JavaScript 作用域和闭包
这篇我不打算堆概念,直接用一组小例子把下面几件事串起来(看懂代码基本就懂了): 变量提升 this 的使用场景 作用域 闭包的应用 文章最后还有一个经典小题,用来检查你是不是真的理解了闭包/作用域链。 变量提升首先我们要知道,js的执行顺序是由上到下的,但这个顺序,并不完全取决于你,因为js中存在变量的声明提升。 这里比较简单,直接上代码 123456789console.log(a) //undefinedvar a = 100fn('zhangsan')function fn(name){ age = 20 console.log(name, age) //zhangsan 20 var age} 结果 打印a的时候,a并没有声明,为什么不报错,而是打印undefined。 执行fn的时候fn并没有声明,为什么fn的语句会执行? 这就是变量的声明提升,代码虽然写成这样,但其实执行顺序是这样的。 1234567891011var afunction fn(name){ age = 2...
2017-11-28
详谈 JavaScript 原型链
创建对象的方法原型链这块最容易把人绕晕,我建议从“对象是怎么来的”开始看:常见创建对象方式大概三种。 代码: 123456789101112131415<script type="text/javascript"> // 第一种方式:字面量 var o1 = {name: 'o1'} var o2 = new Object({name: 'o2'}) // 第二种方式:构造函数 var M = function (name) { this.name = name; } var o3 = new M('o3') // 第三种方式:Object.create var p = {name: 'p'} var o4 = Object.create(p) console.log(o1) console.log(o2) console.log(o3) console.log(...
2019-04-24
如何保证批量请求失败,只弹出一个 Toast
这个问题你一定见过:页面一进来打了十几个接口,其中好几个因为 401/500 挂了,然后 UI 像“放鞭炮”一样连弹十几个 Toast。 用户第一反应不是“哦有些接口失败了”,而是“这页面炸了”。所以更合理的体验是:短时间内同类错误合并提示,最多弹一次(或者合并成一个更清晰的提示)。 实现思路 维护一个全局状态,用于记录是否已经弹出 Toast。 使用节流函数(throttle)或定时器,确保短时间内多个请求失败时,仅触发一次 Toast。 支持批量请求的全局错误拦截,如拦截 Axios 的响应错误,或者在 Fetch API 中封装统一的错误处理。 具体实现1. 使用全局状态记录 Toast123456789101112131415161718192021222324252627282930313233343536373839import axios from "axios";import { message } from "antd";// 定义一个全局状态,记录是否已经显示 Toastlet toa...
