徹底弄清楚session,cookie,WebStorage的區別及應用場景

安全劍客發表於2020-08-17
客戶端狀態保持是一個老生常談的問題了,歸根結底追蹤瀏覽器的使用者身份及其相關資料無非就是以下四種方式:session,cookie,sessionStorage,localStorage。
Cookie機制

如果不在瀏覽器中設定過期時間,cookie被儲存在記憶體中,生命週期隨瀏覽器的關閉而結束,這種cookie簡稱會話cookie。如果在瀏覽器中設定了cookie的過期時間,cookie被儲存在硬碟中,關閉瀏覽器後,cookie資料仍然存在,直到過期時間結束才消失。

Cookie是伺服器發給客戶端的特殊資訊,cookie是以文字的方式儲存在客戶端,每次請求時都帶上它

Session機制

當伺服器收到請求需要建立session物件時,首先會檢查客戶端請求中是否包含sessionid。如果有sessionid,伺服器將根據該id返回對應session物件。如果客戶端請求中沒有sessionid,伺服器會建立新的session物件,並把sessionid在本次響應中返回給客戶端。通常使用cookie方式儲存sessionid到客戶端,在互動中瀏覽器按照規則將sessionid傳送給伺服器。如果使用者禁用cookie,則要使用URL重寫,可以透過response.encodeURL(url) 進行實現;API對encodeURL的結束為,當瀏覽器支援Cookie時,url不做任何處理;當瀏覽器不支援Cookie的時候,將會重寫URL將SessionID拼接到訪問地址後。

儲存內容

cookie只能儲存字串型別,以文字的方式;session透過類似與Hashtable的資料結構來儲存,能支援任何型別的物件(session中可含有多個物件)

儲存的大小

cookie:單個cookie儲存的資料不能超過4kb;session大小沒有限制。

安全性

cookie:針對cookie所存在的攻擊:Cookie欺騙,Cookie截獲;session的安全性大於cookie。

原因如下:

(1)sessionID儲存在cookie中,若要攻破session首先要攻破cookie;

(2)sessionID是要有人登入,或者啟動session_start才會有,所以攻破cookie也不一定能得到sessionID;

(3)第二次啟動session_start後,前一次的sessionID就是失效了,session過期後,sessionID也隨之失效。

(4)sessionID是加密的

(5)綜上所述,攻擊者必須在短時間內攻破加密的sessionID,並非易事。

應用場景

cookie:

(1)判斷使用者是否登陸過網站,以便下次登入時能夠實現自動登入(或者記住密碼)。如果我們刪除cookie,則每次登入必須從新填寫登入的相關資訊。

(2)儲存上次登入的時間等資訊。

(3)儲存上次檢視的頁面

(4)瀏覽計數

session:Session用於儲存每個使用者的專用資訊,變數的值儲存在伺服器端,透過SessionID來區分不同的客戶。

(1)網上商城中的購物車

(2)儲存使用者登入資訊

(3)將某些資料放入session中,供同一使用者的不同頁面使用

(4)防止使用者非法登入

缺點

cookie:

(1)大小受限

(2)使用者可以操作(禁用)cookie,使功能受限

(3)安全性較低

(4)有些狀態不可能儲存在客戶端。

(5)每次訪問都要傳送cookie給伺服器,浪費頻寬。

(6)cookie資料有路徑(path)的概念,可以限制cookie只屬於某個路徑下。

session:

(1)Session儲存的東西越多,就越佔用伺服器記憶體,對於使用者線上人數較多的網站,伺服器的記憶體壓力會比較大。

(2)依賴於cookie(sessionID儲存在cookie),如果禁用cookie,則要使用URL重寫,不安全

(3)建立Session變數有很大的隨意性,可隨時呼叫,不需要開發者做精確地處理,所以,過度使用session變數將會導致程式碼不可讀而且不好維護。

說白了,這兩種狀態保持方式都差強人意,於是webStroage應運而生。

WebStorage的目的是克服由cookie所帶來的一些限制,當資料需要被嚴格控制在客戶端時,不需要持續的將資料發回伺服器。

WebStorage兩個主要目標:(1)提供一種在cookie之外儲存會話資料的路徑。(2)提供一種儲存大量可以跨會話存在的資料的機制。

HTML5的WebStorage提供了兩種API:localStorage(本地儲存)和sessionStorage(會話儲存)。

1、生命週期:localStorage:localStorage的生命週期是永久的,關閉頁面或瀏覽器之後localStorage中的資料也不會消失。localStorage除非主動刪除資料,否則資料永遠不會消失。

sessionStorage的生命週期是在僅在當前會話下有效。sessionStorage引入了一個“瀏覽器視窗”的概念,sessionStorage是在同源的視窗中始終存在的資料。只要這個瀏覽器視窗沒有關閉,即使重新整理頁面或者進入同源另一個頁面,資料依然存在。但是sessionStorage在關閉了瀏覽器視窗後就會被銷燬。同時獨立的開啟同一個視窗同一個頁面,sessionStorage也是不一樣的。

2、儲存大小:localStorage和sessionStorage的儲存資料大小一般都是:5MB

3、儲存位置:localStorage和sessionStorage都儲存在客戶端,不與伺服器進行互動通訊。

4、儲存內容型別:localStorage和sessionStorage只能儲存字串型別,對於複雜的物件可以使用ECMAScript提供的JSON物件的stringify和parse來處理

5、獲取方式:localStorage:window.localStorage;;sessionStorage:window.sessionStorage;。

6、應用場景:localStoragese:常用於長期登入(+判斷使用者是否已登入),適合長期儲存在本地的資料(令牌)。sessionStorage:敏感賬號一次性登入;

WebStorage的優點:

(1)儲存空間更大:cookie為4KB,而WebStorage是5MB;

(2)節省網路流量:WebStorage不會傳送到伺服器,儲存在本地的資料可以直接獲取,也不會像cookie一樣美詞請求都會傳送到伺服器,所以減少了客戶端和伺服器端的互動,節省了網路流量;

(3)對於那種只需要在使用者瀏覽一組頁面期間儲存而關閉瀏覽器後就可以丟棄的資料,sessionStorage會非常方便;

(4)快速顯示:有的資料儲存在WebStorage上,再加上瀏覽器本身的快取。獲取資料時可以從本地獲取會比從伺服器端獲取快得多,所以速度更快;

(5)安全性:WebStorage不會隨著HTTP header傳送到伺服器端,所以安全性相對於cookie來說比較高一些,不會擔心截獲,但是仍然存在偽造問題;

(6)WebStorage提供了一些方法,資料操作比cookie方便;

setItem (key, value) —— 儲存資料,以鍵值對的方式儲存資訊。徹底弄清楚session,cookie,WebStorage的區別及應用場景

原文地址:

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2712397/,如需轉載,請註明出處,否則將追究法律責任。

相關文章