欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

一文带你看懂cookie,面试前端不用愁

程序员文章站 2022-07-02 17:18:39
本文由云+社区发表 在前端面试中,有一个必问的问题:请你谈谈cookie和localStorage有什么区别啊? localStorage是H5中的一种浏览器本地存储方式,而实际上,cookie本身并不是用来做服务器存储的。但在 localStorage 出现之前,cookie被滥用当做了存储工具, ......

本文由云+社区发表

在前端面试中,有一个必问的问题:请你谈谈cookie和localstorage有什么区别啊?

localstorage是h5中的一种浏览器本地存储方式,而实际上,cookie本身并不是用来做服务器存储的。但在 localstorage 出现之前,cookie被滥用当做了存储工具,什么数据都放在cookie中,即使这些数据只在页面中使用、而不需要随请求传送到服务端(当然cookie也做了一些限制:大小受限、每个域名下生成的cookie数量受限)。就像css中的float,最初被设计出来的初衷,是用于做文字环绕效果的,就是一个图片、一段文字,给图片加上float:left的样式后,就会产生文字环绕图片的效果。但是后来发现float结合

,可以实现之前通过实现的网页布局,因此就被“误用于”网页布局了。

那么通过阅读本文,你可以了解:

1.cookie是什么,cookie的属性有哪些,如何设置cookie,cookie的缺点,和session的区别

2.不再混淆cookie和webstorage,简单介绍浏览器的本地存储的两种方式:sessionstorage和localstorage

1.cookie

1.1 cookie是什么

cookie是当你浏览某个网站的时候,由web服务器存储在你的机器硬盘上的一个小的文本文件。它其中记录了你的用户名、密码、浏览的网页、停留的时间等等信息。当你再次来到这个网站时,web服务器会先看看有没有它上次留下来的cookie。如果有的话,会读取cookie中的内容,来判断使用者,并送出相应的网页内容,比如在页面显示欢迎你的标语,或者让你不用输入id、密码就直接登录等等。

当客户端要发送http请求时,浏览器会先检查下是否有对应的cookie。有的话,则自动地添加在request header中的cookie字段。注意,每一次的http请求时,如果有cookie,浏览器都会自动带上cookie发送给服务端。那么把什么数据放到cookie中就很重要了,因为很多数据并不是每次请求都需要发给服务端,毕竟会增加网络开销,浪费带宽。所以对于那设置“每次请求都要携带的信息(最典型的就是身份认证信息)”就特别适合放在cookie中,其他类型的数据就不适合了。

简单的说就是:

(1) cookie是以小的文本文件形式(即纯文本),完全存在于客户端;cookie保存了登录的凭证,有了它,只需要在下次请求时带着cookie发送,就不必再重新输入用户名、密码等重新登录了。

(2) 是设计用来在服务端客户端进行信息传递的;

这里我简单地画了个图,可以方便理解:

第一次请求时:

一文带你看懂cookie,面试前端不用愁第一次请求

下一次请求时:

一文带你看懂cookie,面试前端不用愁下一次请求

浏览器会把cookie放到请求头一起提交给服务器,cookie携带了会话id信息。服务器会根据cookie辨认用户:由于cookie带了会话的id信息,可以通过cookie找到对应会话,通过判断会话来判断用户状态。

1.2 cookie的属性

在浏览器的控制台中,可以直接输入:document.cookie来查看cookie。cookie是一个由键值对构成的字符串,每个键值对之间是“; ”即一个分号和一个空格隔开。

一文带你看懂cookie,面试前端不用愁document.cookie

注意,这个方法只能获取非 httponly 类型的cookie

每个cookie都有一定的属性,如什么时候失效,要发送到哪个域名,哪个路径等等。这些属性是通过cookie选项来设置的,cookie选项包括:expires、domain、path、secure、httponly。在设置任一个cookie时都可以设置相关的这些属性,当然也可以不设置,这时会使用这些属性的默认值。在设置这些属性时,属性之间由一个分号和一个空格隔开。代码示例如下:

"key=name; expires=sat, 08 sep 2018 02:26:00 gmt; domain=ppsc.sankuai.com; path=/; secure; httponly"

cookie的属性可以在控制台查看:application选项,左边选择storage,最后一个就是cookie,点开即可查看。

  • expires、max age:

expires选项用来设置“cookie 什么时间内有效”。expires其实是cookie失效日期,expires必须是 gmt 格式的时间(可以通过 new date().togmtstring()或者 new date().toutcstring() 来获得)。

new date().togmtstring()或者 new date().toutcstring()

如expires=sat, 08 sep 2018 02:26:00 gmt表示cookie将在2018年9月8日2:26分之后失效。对于失效的cookie浏览器会清空。如果没有设置该选项,这样的cookie称为会话cookie。它存在内存中,当会话结束,也就是浏览器关闭时,cookie消失。

补充:

expires是 http/1.0协议中的选项,在http/1.1协议中expires已经由 max age 选项代替,两者的作用都是限制cookie 的有效时间。expires的值是一个时间点(cookie失效时刻= expires),而max age的值是一个以秒为单位时间段(cookie失效时刻= 创建时刻+ max age)。 另外, max age的默认值是 -1(即有效期为 session ); max age有三种可能值:负数、0、正数。负数:有效期session;0:删除cookie;正数:有效期为创建时刻+ max age

  • domain和path

domain是域名,path是路径,两者加起来就构成了 url,domain和path一起来限制 cookie 能被哪些 url 访问。即请求的url是domain或其子域、且url的路径是path或子路径,则都可以访问该cookie,例如:

某cookie的 domain为“baidu.com”, path为“/ ”,若请求的url(url 可以是js/html/img/css资源请求,但不包括 xhr 请求)的域名是“baidu.com”或其子域如“api.baidu.com”、“dev.api.baidu.com”,且 url 的路径是“/ ”或子路径“/home”、“/home/login”,则都可以访问该cookie。

补充:

发生跨域xhr请求时,即使请求url的域名和路径都满足 cookie 的 domain和path,默认情况下cookie也不会自动被添加到请求头部中。

  • size

cookie的大小

  • secure

secure选项用来设置cookie只在确保安全的请求中才会发送。当请求是https或者其他安全协议时,包含 secure选项的 cookie 才能被发送至服务器。

默认情况下,cookie不会带secure选项(即为空)。所以默认情况下,不管是https协议还是http协议的请求,cookie 都会被发送至服务端。但要注意一点,secure选项只是限定了在安全情况下才可以传输给服务端,但并不代表你不能看到这个 cookie。

补充:

如果想在客户端即网页中通过 js 去设置secure类型的 cookie,必须保证网页是https协议的。在http协议的网页中是无法设置secure类型cookie的。

  • httponly

这个选项用来设置cookie是否能通过 js 去访问。默认情况下,cookie不会带httponly选项(即为空),所以默认情况下,客户端是可以通过js代码去访问(包括读取、修改、删除等)这个cookie的。当cookie带httponly选项时,客户端则无法通过js代码去访问(包括读取、修改、删除等)这个cookie。

在客户端是不能通过js代码去设置一个httponly类型的cookie的,这种类型的cookie只能通过服务端来设置。

可以在浏览器的控制台中看出哪些cookie是httponly类型的,http下带绿色对勾的即是,如图:

一文带你看懂cookie,面试前端不用愁httponly

只要是httponly类型的,在控制台通过document.cookie是获取不到的,也不能进行修改。

之所以限制客户端去访问cookie,主要还是出于安全的目的。因为如果任何 cookie 都能被客户端通过document.cookie获取,那么假如合法用户的网页受到了xss攻击,有一段恶意的script脚本插到了网页中,这个script脚本,通过document.cookie读取了用户身份验证相关的 cookie,那么只要原样转发cookie,就可以达到目的了。

1.3 cookie的设置、读取、删除方法

cookie既可以由服务端来设置,也可以由客户端来设置。

1.3.1 服务端设置cookie

前面1.1中介绍过,客户端第一次向服务端请求时,在相应的请求头中就有set-cookie字段,用来标识是哪个用户。

下图我是登录腾讯云的某个页面的响应头截图,可以看到响应头中有两个set-cookie字段,每段对应一个cookie,注意每个cookie放一个set-cookie字段中,不能将多个cookie放在一个set-cookie字段中。具体每个cookie设置了相关的属性:expires、path、httponly,具体属性含义可以结合1.2 cookie的属性来看:

一文带你看懂cookie,面试前端不用愁response headers

服务端设置cookie的范围:

服务端可以设置cookie 的所有选项:expires、domain、path、secure、httponly

1.3.2 客户端设置cookie

cookie不像web storage有setitem,getitem,removeitem,clear等方法,需要自己封装。简单地在浏览器的控制台里输入:

document.cookie="name=lynnshen; age=18"

但发现只添加了第一个cookie:"name=lynnshen",后面的cookie并没有添加进来:

一文带你看懂cookie,面试前端不用愁

最简单的设置多个cookie的方法就是重复执行document.cookie = "key=name":

document.cookie = "name=lynnshen";
document.cookie = "age=18";

再看控制台:

一文带你看懂cookie,面试前端不用愁

注意:

当name、domain、path 这3个字段都相同的时候,cookie会被覆盖。

下面是我自己简单封装的设置、读取、删除cookie的方法:

设置cookie:

function setcookie(name,value,iday){
    var odate = new date();
    odate.setdate(odate.getdate() + iday);
    document.cookie = name + "=" + value + ";expires=" + odate;
}

读取cookie,该方法简单地认为cookie中只有一个“=”,即key=value,如有更多需求可以在此基础上完善:

function getcookie(name){
    //例如cookie是"username=abc; password=123"
    var arr = document.cookie.split('; ');//用“;”和空格来划分cookie
    for(var i = 0 ;i < arr.length ; i++){
        var arr2 = arr[i].split("=");
        if(arr2[0] == name){
            return arr2[1];
        }
    }
    return "";//整个遍历完没找到,就返回空值
}

删除cookie:

function removecookie(name){
    setcookie(name, "1", -1)//第二个value值随便设个值,第三个值设为-1表示:昨天就过期了,赶紧删除
}

1.4 cookie的缺点

cookie的缺点:

(1) 每个特定域名下的cookie数量有限:

ie6或ie6-(ie6以下版本):最多20个cookie

ie7或ie7+(ie7以上版本):最多50个cookie

ff:最多50个cookie

opera:最多30个cookie

chrome和safari没有硬性限制

当超过单个域名限制之后,再设置cookie,浏览器就会清除以前设置的cookie。ie和opera会清理近期最少使用的cookie,ff会随机清理cookie;

(2) 存储量太小,只有4kb;

(3) 每次http请求都会发送到服务端,影响获取资源的效率;

(4) 需要自己封装获取、设置、删除cookie的方法;

1.5 cookie和session的区别

cookie是存在客户端浏览器上,session会话存在服务器上。会话对象用来存储特定用户会话所需的属性及配置信息。当用户请求来自应用程序的web页时,如果该用户还没有会话,则服务器将自动创建一个会话对象。当会话过期或被放弃后,服务器将终止该会话。cookie和会话需要配合,具体内容参见1.1节。

当cookie失效、session过期时,就需要重新登录了。

2.浏览器本地存储:

2.1 localstorage和sessionstorage

在较高版本的浏览器中,js提供了两种存储方式:sessionstorage和globalstorage。在h5中,用localstorage取代了globalstorage。

sessionstorage用于本地存储一个会话中的数据,这些数据只有在同一个会话中的页面才能访问,并且当会话结束后,数据也随之销毁。所以sessionstorage仅仅是会话级别的存储,而不是一种持久化的本地存储。

localstorage是持久化的本地存储,除非是通过js删除,或者清除浏览器缓存,否则数据是永远不会过期的。

浏览器的支持情况:ie7及以下版本不支持web storage,其他都支持。不过在ie5、ie6、ie7中有个userdata,其实也是用于本地存储。这个持久化数据放在缓存中,只有不清理缓存,就会一直存在。

2.2 web storage和cookie的区别

(1) web storages和cookie的作用不同,web storage是用于本地大容量存储数据(web storage的存储量大到5mb);而cookie是用于客户端和服务端间的信息传递;

(2) web storage有setitem、getitem、removeitem、clear等方法,cookie需要我们自己来封装setcookie、getcookie、removecookie,具体可见1.3节;

3.小结

本文纵向上深度介绍了cookie相关的知识,包括cookie的作用、各个属性的用途、cookie的设置、缺点等等。横向上,将cookie和会话、localstorage做了比较。如有问题,欢迎指正。

此文已由作者授权腾讯云+社区发布

搜索关注公众号「云加社区」,第一时间获取技术干货,关注后回复1024 送你一份技术课程大礼包!