javascript - Cookie 还是本地存储？

cookie 和本地存储同样容易在客户端被篡改：客户端可以看到和修改两者，它们拥有的任何（可能是恶意的）扩展也可以。但是，如果与您的站点的连接是通过 HTTPS 进行的，并且他们的浏览器/操作系统/硬件没有恶意窥探事物，那么 cookie 或本地存储不应该有问题。

它们之间的主要区别在于，cookie 会随每个网络请求发送到服务器，而本地存储则保留在用户的硬盘上，不会发送到服务器。

cookie 可以说比本地存储更容易受到攻击，因为如果 cookie 通过未加密的连接发送，它可以被拦截 - 但本地存储保留在客户端的机器上，因此它被恶意软件拦截的可能性较小。但是，如果连接是加密的，那么使用cookie 就可以了。

如果您的脚本需要将令牌与请求一起发送到服务器，您可能应该使用 cookie，以便您可以在后端检查它们。（如果您改用本地存储，则必须在每个请求中手动发送令牌，这仍然是可能的，但考虑到 cookie 可以在不需要您手动干预的情况下做同样的事情，这有点不雅。）

如果您的脚本不需要随每个请求一起发送令牌，那么如果您愿意，请随意使用本地存储。如果服务器在生成令牌后从不需要查看令牌，则不要使用 cookie，因为这将无缘无故地产生不必要的开销。

上述相同的一般逻辑适用于客户端的任何数据。如果服务器经常或有时需要查看它，如果数据不是太大，cookie 是一个不错的选择。如果服务器永远不需要看到它，cookie 是错误的选择。