sessionStorage:仅在当前会话下有效,关闭页面或浏览器后被清除
localStorage:除非手动被清除,否则永久保存
cookie:一般由服务器生成,可设置失效时间。如果在浏览器端生成Cookie,默认是关闭浏览器后失效,后台如果在生成cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击
需要注意的是,不是什么数据都适合放在 Cookie、localStorage 和 sessionStorage 中的。需要时刻注意是否有代码存在 XSS 注入的风险。因为只要打开控制台,你就随意修改它们的值,也就是说如果你的网站中有 XSS 的风险,它们就能对你的 localStorage 肆意妄为。