javascript权威指南-第二十章(客户端存储)

layout: post
title: javascript权威指南-第二十章
date: 2017-09-07 14:36:27
tags: 读书笔记

概述

二十章讲的是客户端存储,很详细的介绍了常见的几种客户端存储的方式。涉及到一些同源策略的东西,所以就想看一下13章的安全性的问题。也记录一下

安全性

同源策略:脚本不能读取不同服务器载入的文档内容。比如说一个页面的脚本不能监听其他页面的用户输入信息,这就是同源策略。这么来看同源策略是必须的,不然浏览一个网页,所有的其他页面的信息都暴露了。
但是确实有场景需要读取其他页面的属性,可以使用document的domain属性,domain默认是载入文档的主机名,可以人为设置,比如home.example.com可以设置成example.com。不能设置成home.example或者ample.com之类的,也必须有一个.(避免出现com的情况)如果2个窗口的domain一致,就没有同源限制啦。
跨域资源共享:origin,请求头设置Access-Control-Allow-Origin

XSS(粗略了讲了一点安全问题)

对于url:http://www.example.com/greet.html?David

    let name = decodeURIComponent(window.location.search.substring(1)) // search可以拿到?之后的字段(可以理解为query字段???),转码之后可以拿到David
    alert(name)

但是如果调用http://http.www.example.com/greet.html?name=%3Cscript src=siteB/evil.js%3E%3C/script%3E
这样会注入一个来自siteB的脚本,脚本在sideB中,但是可以在A中进行操作,比较危险

防止XSS的,通过不可信的数据来的时候,去掉里面的HTML标签(包括script标签),
简单的实现安全函数

name = name.replace(/</g, '<').replace(/</g,'>')

localStorage和sessionStorage的区别

两者的区别在于存储的有效期作用域不同,也就是可以存储多长时间以及谁对数据有访问权。
storage都定义了存储、获取、删除的方法

有效期和作用域

localStorage的作用域是文档源级别。文档源就是协议主机和端口一致,也就是说同一个浏览器开多个窗口打开一个页面,是可以共享localStorage的。但是受浏览器供应商的限制。
sessionStorage的作用域也是文档源级别,但是不太相同,它是限定在窗口中的。在不同的标签中不共享。
sessionStorage在浏览器或者标签页关闭,sessionStorage里面存的数据会被删除。

存储的API

localStorage.setItem('x', 1)
localStorage.getItem('X')
/// 遍历
for(let i= 0; i< localStorage.length; i++ ){
    let name = localStorage.key(i)
    let value = localStorage.getItem(name)
}
localStorage.removeItem('X')    //删除X项
localStorage.clear()            //全部删除

cookie

cookie属性:有效期和作用域

cookie的默认有效期是浏览器的会话期间。但是和sessionStorage有区别,cookie不局限在浏览器单个窗口,有效期和整个浏览器的进程有关。
通过max-age设置有效期设置有效期,他的作用域可以通过path和domain来配置,默认情况和创建他的web页面有关,对子页面可见。

如果路径设置成'/'就和localStorage一样的作用域了

保存cookie

// cookie中不允许包含分毫、逗号和空白符,所以一般采用encodeURIComponent转码
// 最简单的cookie设置,浏览器关闭清除
document.cookie = 'version=' + encodeURIComponent(document.lastModified)

// 一个可选max-age、path、domain、secure属性的方法
// 通过设置domain可以解决cookie跨域的问题
const setCookie = (name, value, daysTolive, path, path) = {
    let cookie = `${name}=${encodeURLComponent(value)}`
    if(typeOf daysToLive === 'number'){
        cookie += `; max-age=${daysToLive * 60 * 60 * 24}`
    }
    if(path){
        cookie += `; path=${path}`
    }
    if(domain){
        cookie += `; domain=${domain}`
    }
    document.cookie = cookie
}

读取cookie

通过document.cookie读取出来的是一个字符串,不同键值对通过f分号和空格隔开。value的解码方式取决于之前存储用的方式,例如上面用到的setCookie中用的方式是encodeURIComponent编码

const getCookie = (){
    let cookieObj = {}
    let cookieStr = document.cookie
    if(cookieStr === ''){
        return cookieObj
    }
    let cookieArr = cookieStr.split('; ')
    for(let _cookie of cookieArr){
        let p = _cookie.indexOf('=')
        let name = _cookie.slice(0,p)
        let value = _cookie.slice(p+1)
        value = decodeURIComponent(value)
        cookieObj[name] = value
    }
    return cookieObj
}

cookie相关的存储

实现类似于sessionStorage的getItem、setItem、remove、delete等功能

const cookieStorage(maxage, path) {
    //自执行函数实例化一个cookie对象
    let cookie = (()=>{
        let cookieObj = {}
        let cookieStr = document.cookie
        if(cookieStr === ''){
        return cookieObj
        }
        let cookieArr = cookieStr.split('; ')
        for(let _cookie of cookieArr){
            let p = _cookie.indexOf('=')
            let name = _cookie.slice(0,p)
            let value = _cookie.slice(p+1)
            value = decodeURIComponent(value)
            cookieObj[name] = value
        }
        return cookieObj
    }())
    // 拿出所有的key
    let keys = Object.keys(cookie)
    //存储API公共的属性和方法
    this.length = keys.length
    //返回第n个key的名字,即key方法
    this.key = (n) => {
        if (n<0 || n >= keys.length) return null
        return keys[n]
    }
    //getItem方法
    this.getItem = (name) => cookie[name] || null
    // setItem方法
    this.setItem = (key,value) => {
        //首先判断要存储的cookie存在不,不存在先操作一次keys和length
        if(!(key in keys)){
            keys.push(key)
            this.length++
        }
        // 针对cookie对象做的操作
        cookie[key] = value
        //接下来就是正式操作浏览器中的cookie
        let domCookie = `${key}=${encodeURIComponent(value)}`
        if(maxage) domCookie += `; max-age=${maxage}`
        if(path) domCookie += `; path=${path}`
        document.cookie = domCookie
    }
    // removeCookie
    this.removeItem = (key) => {
        if(!(key in cookie)) return
        delete cookie[key]
        this.length--
        let p = keys.indexOf(key)
        keys.splice(p,1)
        document.cookie = 
    }
    // clear
    this.clear = () => {
        for(let key of keys){
            document.cookie = `${key}=; max-age=0`
        }
        cookie = {}
        keys = []
        this.length = 0
    }
}
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,634评论 6 497
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,951评论 3 391
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,427评论 0 351
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,770评论 1 290
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,835评论 6 388
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,799评论 1 294
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,768评论 3 416
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,544评论 0 271
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,979评论 1 308
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,271评论 2 331
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,427评论 1 345
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,121评论 5 340
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,756评论 3 324
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,375评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,579评论 1 268
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,410评论 2 368
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,315评论 2 352

推荐阅读更多精彩内容