<!DOCTYPE html>
<html lang="zh-CN">

    <head>
        <meta charset="UTF-8">
        <meta http-equiv="X-UA-Compatible" content="IE=edge">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
        <title>Document</title>
    </head>

    <body>
        <script>
            // cookie是为http无状态服务的，由于http是无状态的，Cookie可以用来跟踪用户，由于每次请求浏览器都会自动携带Cookie，这样服务端就知道哪些请求是来自同一个用户了。
            // cookie是保存在客户端的一小段数据文本，以key-value的形式，整个值是字符串
            // cookie有很多属性可以进行操作：
            //     domain：表示cookie的域，限定cookie能被访问地址，后端显示设置主域名之后，子域就可以访问到cookie
            //     path：指定可以共享cookie的子目录，默认根目录
            //     cookie的作用域与协议和端口无关
            //     Expires/Max-Age：cookie的有效时间，默认Session，Expires指具体的过期时间，Max-Age指多少秒之后过期，Max-Age的优先级更高
            //     HttpOnly：表示Cookie能否被js获取
            //     Secure：只有***L 和 HTTPS 协议的时候才会被发送
            //     SameSite：用于限制第三方 Cookie 的发送
            // cookie的安全隐患：
            //     csrf:利用浏览器自动带上cookie的特性 https://juejin.cn/post/6869573026980036616
            //     xss: 通过可执行代码获取cookie https://juejin.cn/post/6867184627393265677
            
            // storage是本地储存，发送请求不会自动带上
            // cookie的大小一般4kb，storage一般5m
            // cookie的期限可以设置，sessionstorage是会话期有效，localsotorage是永久保存，手动删除
            // 共同点：都不可以跨域
            // 看到一个题，storage容量有限怎么解决：内嵌同源页面使用？套娃？
            // 说到cookie要说下session：一般配对使用，一个用户创建一个session，服务器把sessionid发给客户端存在cookie里，session存在服务端，每次收到cookie获取session查找服务端的session找到就放行，可以保存状态
        </script>
    </body>

</html>