深刻了解瀏覽器存儲--從cookie到WebStorage、IndexedDB

前言

隨着移動網絡的發展與演化，咱們手機上如今除了有原生 App，還能跑「WebApp」——它即開即用，用完即走。一個優秀的 WebApp 甚至能夠擁有和原生 App 媲美的功能和體驗。WebApp 優異的性能表現，有一部分緣由要歸功於瀏覽器存儲技術的提高。cookie存儲數據的功能已經很難知足開發所需，逐漸被WebStorage、IndexedDB所取代，本文將介紹這幾種存儲方式的差別和優缺點。

想閱讀更多優質文章請猛戳GitHub博客

1、Cookie

1.Cookie的來源

Cookie 的本職工做並不是本地存儲，而是「維持狀態」。
由於HTTP協議是無狀態的，HTTP協議自身不對請求和響應之間的通訊狀態進行保存，通俗來講，服務器不知道用戶上一次作了什麼，這嚴重阻礙了交互式Web應用程序的實現。在典型的網上購物場景中，用戶瀏覽了幾個頁面，買了一盒餅乾和兩瓶飲料。最後結賬時，因爲HTTP的無狀態性，不經過額外的手段，服務器並不知道用戶到底買了什麼，因而就誕生了Cookie。它就是用來繞開HTTP的無狀態性的「額外手段」之一。服務器能夠設置或讀取Cookies中包含信息，藉此維護用戶跟服務器會話中的狀態。

咱們能夠把Cookie 理解爲一個存儲在瀏覽器裏的一個小小的文本文件，它附着在 HTTP 請求上，在瀏覽器和服務器之間「飛來飛去」。它能夠攜帶用戶信息，當服務器檢查 Cookie 的時候，即可以獲取到客戶端的狀態。

在剛纔的購物場景中，當用戶選購了第一項商品，服務器在向用戶發送網頁的同時，還發送了一段Cookie，記錄着那項商品的信息。當用戶訪問另外一個頁面，瀏覽器會把Cookie發送給服務器，因而服務器知道他以前選購了什麼。用戶繼續選購飲料，服務器就在原來那段Cookie裏追加新的商品信息。結賬時，服務器讀取發送來的Cookie就好了。

2.什麼是Cookie及應用場景

Cookie指某些網站爲了辨別用戶身份而儲存在用戶本地終端上的數據(一般通過加密)。 cookie是服務端生成，客戶端進行維護和存儲。經過cookie,可讓服務器知道請求是來源哪一個客戶端，就能夠進行客戶端狀態的維護，好比登錄後刷新，請求頭就會攜帶登錄時response header中的set-cookie,Web服務器接到請求時也能讀出cookie的值，根據cookie值的內容就能夠判斷和恢復一些用戶的信息狀態。

如上圖所示，Cookie 以鍵值對的形式存在。

典型的應用場景有：

• 記住密碼，下次自動登陸。
• 購物車功能。
• 記錄用戶瀏覽數據，進行商品（廣告）推薦。

3.Cookie的原理及生成方式

Cookie的原理

第一次訪問網站的時候，瀏覽器發出請求，服務器響應請求後，會在響應頭裏面添加一個Set-Cookie選項，將cookie放入到響應請求中，在瀏覽器第二次發請求的時候，會經過Cookie請求頭部將Cookie信息發送給服務器，服務端會辨別用戶身份，另外，Cookie的過時時間、域、路徑、有效期、適用站點均可以根據須要來指定。

Cookie的生成方式主要有兩種：

• 生成方式一：http response header中的set-cookie

咱們能夠經過響應頭裏的 Set-Cookie 指定要存儲的 Cookie 值。默認狀況下，domain 被設置爲設置 Cookie 頁面的主機名，咱們也能夠手動設置 domain 的值。

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2018 07:28:00 GMT;//能夠指定一個特定的過時時間（Expires）或有效期（Max-Age）

當Cookie的過時時間被設定時，設定的日期和時間只與客戶端相關，而不是服務端。

• 生成方式二：js中能夠經過document.cookie能夠讀寫cookie，以鍵值對的形式展現

例如咱們在掘金社區控制檯輸入如下三句代碼，即可以在Chrome 的 Application 面板查看生成的cookie:

document.cookie="userName=hello"

document.cookie="gender=male"

document.cookie='age=20;domain=.baidu.com'

從上圖中咱們能夠得出：

Domain 標識指定了哪些域名能夠接受Cookie。若是沒有設置domain，就會自動綁定到執行語句的當前域。
若是設置爲」.baidu.com」,則全部以」baidu.com」結尾的域名均可以訪問該Cookie，因此在掘金社區上讀取不到第三條代碼存儲Cookie值。

4.Cookie的缺陷

• Cookie 不夠大

Cookie的大小限制在4KB左右，對於複雜的存儲需求來講是不夠用的。當 Cookie 超過 4KB 時，它將面臨被裁切的命運。這樣看來，Cookie 只能用來存取少許的信息。此外不少瀏覽器對一個站點的cookie個數也是有限制的。

這裏需注意：各瀏覽器的cookie每個name=value的value值大概在4k，因此4k並非一個域名下全部的cookie共享的,而是一個name的大小。

• 過多的 Cookie 會帶來巨大的性能浪費

Cookie 是緊跟域名的。同一個域名下的全部請求，都會攜帶 Cookie。你們試想，若是咱們此刻僅僅是請求一張圖片或者一個 CSS 文件，咱們也要攜帶一個 Cookie 跑來跑去（關鍵是 Cookie 裏存儲的信息並不須要），這是一件多麼勞民傷財的事情。Cookie 雖然小，請求卻能夠有不少，隨着請求的疊加，這樣的沒必要要的 Cookie 帶來的開銷將是沒法想象的。

cookie是用來維護用戶信息的，而域名(domain)下全部請求都會攜帶cookie，但對於靜態文件的請求，攜帶cookie信息根本沒有用，此時能夠經過cdn（存儲靜態文件的）的域名和主站的域名分開來解決。

• 因爲在HTTP請求中的Cookie是明文傳遞的，因此安全性成問題，除非用HTTPS。

5.Cookie與安全

對於 cookie 來講，咱們還須要注意安全性。

HttpOnly 不支持讀寫，瀏覽器不容許腳本操做document.cookie去更改cookie，
因此爲避免跨域腳本 (XSS) 攻擊，經過JavaScript的 Document.cookie API沒法訪問帶有 HttpOnly 標記的Cookie，它們只應該發送給服務端。若是包含服務端 Session 信息的 Cookie 不想被客戶端 JavaScript 腳本調用，那麼就應該爲其設置 HttpOnly 標記。

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

標記爲 Secure 的Cookie只應經過被HTTPS協議加密過的請求發送給服務端。但即使設置了 Secure 標記，敏感信息也不該該經過Cookie傳輸，由於Cookie有其固有的不安全性，Secure 標記也沒法提供確實的安全保障。

爲了彌補 Cookie 的侷限性，讓「專業的人作專業的事情」，Web Storage 出現了。

HTML5中新增了本地存儲的解決方案----Web Storage，它分紅兩類：sessionStorage和localStorage。這樣有了WebStorage後，cookie能只作它應該作的事情了——做爲客戶端與服務器交互的通道，保持客戶端狀態。

2、LocalStorage

1.LocalStorage的特色

• 保存的數據長期存在，下一次訪問該網站的時候，網頁能夠直接讀取之前保存的數據。
• 大小爲5M左右
• 僅在客戶端使用，不和服務端進行通訊
• 接口封裝較好

基於上面的特色，LocalStorage能夠做爲瀏覽器本地緩存方案，用來提高網頁首屏渲染速度(根據第一請求返回時，將一些不變信息直接存儲在本地)。

2.存入/讀取數據

localStorage保存的數據，以「鍵值對」的形式存在。也就是說，每一項數據都有一個鍵名和對應的值。全部的數據都是以文本格式保存。
存入數據使用setItem方法。它接受兩個參數，第一個是鍵名，第二個是保存的數據。
localStorage.setItem("key","value");
讀取數據使用getItem方法。它只有一個參數，就是鍵名。
var valueLocal = localStorage.getItem("key");

具體步驟，請看下面的例子：

<script>
if(window.localStorage){
  localStorage.setItem（'name','world'）
  localStorage.setItem（「gender','famale'）
}
</script>

<body>
<div id="name"></div>
<div id="gender"></div>
<script>
var name=localStorage.getItem('name')
var gender=localStorage.getItem('gender')
document.getElementById('name').innerHTML=name
document.getElementById('gender').innerHTML=gender
</script>
</body>

3.使用場景

LocalStorage在存儲方面沒有什麼特別的限制，理論上 Cookie 沒法勝任的、能夠用簡單的鍵值對來存取的數據存儲任務，均可以交給 LocalStorage 來作。

這裏給你們舉個例子，考慮到 LocalStorage 的特色之一是持久，有時咱們更傾向於用它來存儲一些內容穩定的資源。好比圖片內容豐富的電商網站會用它來存儲 Base64 格式的圖片字符串：

3、sessionStorage

sessionStorage保存的數據用於瀏覽器的一次會話，當會話結束（一般是該窗口關閉），數據被清空；sessionStorage 特別的一點在於，即使是相同域名下的兩個頁面，只要它們不在同一個瀏覽器窗口中打開，那麼它們的 sessionStorage 內容便沒法共享；localStorage 在全部同源窗口中都是共享的；cookie也是在全部同源窗口中都是共享的。除了保存期限的長短不一樣，SessionStorage的屬性和方法與LocalStorage徹底同樣。

1.sessionStorage的特色

• 會話級別的瀏覽器存儲
• 大小爲5M左右
• 僅在客戶端使用，不和服務端進行通訊
• 接口封裝較好

基於上面的特色，sessionStorage 能夠有效對錶單信息進行維護，好比刷新時，表單信息不丟失。

2.使用場景

sessionStorage 更適合用來存儲生命週期和它同步的會話級別的信息。這些信息只適用於當前會話，當你開啓新的會話時，它也須要相應的更新或釋放。好比微博的 sessionStorage就主要是存儲你本次會話的瀏覽足跡：

lasturl 對應的就是你上一次訪問的 URL 地址，這個地址是即時的。當你切換 URL 時，它隨之更新，當你關閉頁面時，留着它也確實沒有什麼意義了，乾脆釋放吧。這樣的數據用 sessionStorage 來處理再合適不過。

3.sessionStorage 、localStorage 和 cookie 之間的區別

• 共同點：都是保存在瀏覽器端，且都遵循同源策略。
• 不一樣點：在於生命週期與做用域的不一樣

做用域：localStorage只要在相同的協議、相同的主機名、相同的端口下，就能讀取/修改到同一份localStorage數據。sessionStorage比localStorage更嚴苛一點，除了協議、主機名、端口外，還要求在同一窗口（也就是瀏覽器的標籤頁）下

生命週期：localStorage 是持久化的本地存儲，存儲在其中的數據是永遠不會過時的，使其消失的惟一辦法是手動刪除；而 sessionStorage 是臨時性的本地存儲，它是會話級別的存儲，當會話結束（頁面被關閉）時，存儲內容也隨之被釋放。

Web Storage 是一個從定義到使用都很是簡單的東西。它使用鍵值對的形式進行存儲，這種模式有點相似於對象，卻甚至連對象都不是——它只能存儲字符串，要想獲得對象，咱們還須要先對字符串進行一輪解析。

說到底，Web Storage 是對 Cookie 的拓展，它只能用於存儲少許的簡單數據。當遇到大規模的、結構複雜的數據時，Web Storage 也心有餘而力不足了。這時候咱們就要清楚咱們的終極大 boss——IndexedDB！

4、IndexedDB

IndexedDB 是一種低級API，用於客戶端存儲大量結構化數據(包括文件和blobs)。該API使用索引來實現對該數據的高性能搜索。IndexedDB 是一個運行在瀏覽器上的非關係型數據庫。既然是數據庫了，那就不是 5M、10M 這樣小打小鬧級別了。理論上來講，IndexedDB 是沒有存儲上限的（通常來講不會小於 250M）。它不只能夠存儲字符串，還能夠存儲二進制數據。

1.IndexedDB的特色

• 鍵值對儲存。

IndexedDB 內部採用對象倉庫（object store）存放數據。全部類型的數據均可以直接存入，包括 JavaScript 對象。對象倉庫中，數據以"鍵值對"的形式保存，每個數據記錄都有對應的主鍵，主鍵是獨一無二的，不能有重複，不然會拋出一個錯誤。

• 異步

IndexedDB 操做時不會鎖死瀏覽器，用戶依然能夠進行其餘操做，這與 LocalStorage 造成對比，後者的操做是同步的。異步設計是爲了防止大量數據的讀寫，拖慢網頁的表現。

• 支持事務。

IndexedDB 支持事務（transaction），這意味着一系列操做步驟之中，只要有一步失敗，整個事務就都取消，數據庫回滾到事務發生以前的狀態，不存在只改寫一部分數據的狀況。

• 同源限制

IndexedDB 受到同源限制，每個數據庫對應建立它的域名。網頁只能訪問自身域名下的數據庫，而不能訪問跨域的數據庫。

• 儲存空間大

IndexedDB 的儲存空間比 LocalStorage 大得多，通常來講很多於 250MB，甚至沒有上限。

• 支持二進制儲存。

IndexedDB 不只能夠儲存字符串，還能夠儲存二進制數據（ArrayBuffer 對象和 Blob 對象）。

2.IndexedDB的常見操做

在IndexedDB大部分操做並非咱們經常使用的調用方法，返回結果的模式，而是請求——響應的模式。

• 創建打開IndexedDB ----window.indexedDB.open("testDB")

這條指令並不會返回一個DB對象的句柄，咱們獲得的是一個IDBOpenDBRequest對象，而咱們但願獲得的DB對象在其result屬性中

除了result，IDBOpenDBRequest接口定義了幾個重要屬性:

onerror: 請求失敗的回調函數句柄

onsuccess:請求成功的回調函數句柄

onupgradeneeded:請求數據庫版本變化句柄

<script>
function openDB(name){
var request=window.indexedDB.open(name)//創建打開IndexedDB
request.onerror=function (e){
console.log('open indexdb error')
}
request.onsuccess=function (e){
myDB.db=e.target.result//這是一個 IDBDatabase對象，這就是IndexedDB對象
console.log(myDB.db)//此處就能夠獲取到db實例
}
}
var myDB={
name:'testDB',
version:'1',
db:null
}
openDB(myDB.name)
</script>

控制檯獲得一個 IDBDatabase對象，這就是IndexedDB對象

• 關閉IndexedDB----indexdb.close()

function closeDB(db){
    db.close();
}

• 刪除IndexedDB----window.indexedDB.deleteDatabase(indexdb)

function deleteDB(name) {
  indexedDB.deleteDatabase(name)
}

3.WebStorage、cookie 和 IndexedDB之間的區別

從上表能夠看到，cookie 已經不建議用於存儲。若是沒有大量數據存儲需求的話，可使用 localStorage 和 sessionStorage 。對於不怎麼改變的數據儘可能使用 localStorage 存儲，不然能夠用 sessionStorage 存儲。

總結

正是瀏覽器存儲、緩存技術的出現和發展，爲咱們的前端應用帶來了無限的起色。近年來基於存儲、緩存技術的第三方庫層出不絕，此外還衍生出了 PWA 這樣優秀的 Web 應用模型。總結下本文幾個核心觀點：

• Cookie 的本職工做並不是本地存儲，而是「維持狀態」
• Web Storage 是 HTML5 專門爲瀏覽器存儲而提供的數據存儲機制，不與服務端發生通訊
• IndexedDB 用於客戶端存儲大量結構化數據

給你們推薦一個好用的BUG監控工具Fundebug，歡迎免費試用！

歡迎關注公衆號：前端工匠，你的成長咱們一塊兒見證！

優質交流羣	微信公衆號

參考文章

• 把cookie聊清楚
• HTML5本地存儲——IndexedDB（一：基本使用）
• 詳說 Cookie, LocalStorage 與 SessionStorage
• 前端性能優化原理與實踐
• localstorage 必知必會
• 瀏覽器數據庫 IndexedDB 入門教程