cookie

关于cookie

用于方便服务端管理客户端状态提出的一种机制。

document.cookie

客户端JavaScript可通过document.cookie方式获取非HTTPOnly状态下当前文档的所有cookie信息。

关于Cross-Site request forgery(CSRF)

跨站请求伪造。

常用防范方法：

• 针对XSS攻击，实现输入值校验。
• 重要操作需要确认操作。
• 重要敏感的cookie信息需要设置尽量短的生命周期。
• 更多防范方法，参考这里

cookie可替代方案——Web Storage API

Web Storage API 提供了一种更安全存储键值对数据的可选方案，它比使用cookie方式更直观与安全。

Web Storage API包含了两种存储数据的机制：

• sessionStorage 包含了一个针对每个源数据存储的独立数据区域，在页面session有效期间都可以访问(只要浏览器开启状态，无论是重新加载页面或重置页面都可以在有效期间访问sessionStorage)。
• localStorage 和前者一样。不同点在于localStorage将永久保存这些数据。即使在浏览器关闭和重现打开依旧能访问里面的数据。

【JavaScript-基础-cookie从入门到进阶】

原文：https://www.cnblogs.com/wanxiong/p/js-basic-cookie-in-depth.html