1.背景
公司里面有多个产品,对应多个网站,登录网站A,记录登录信息(token)到sessionStorage中,然后在新标签页中打开网站B,再从当前标签页使用window.open()返回网站A,“神奇”的事情发生了,网站A居然完成了自动登录。
2.基础知识
关于sessionStorage,有几个常见的规则和特性,稍微有一些前端开发经验的人都清楚:
生命周期:sessionStorage中存储的数据在浏览器会话期间有效,当关闭浏览器窗口或标签页时,sessionStorage中的数据将被清除;
数据隔离:每个域名(网站)都有自己的sessionStorage空间,不同域名之间的sessionStorage是彼此隔离的;
数据访问:sessionStorage中的数据只能在同一个浏览器窗口或标签页中访问,如果在新的窗口或标签页中打开同一个网站,它将创建一个新的sessionStorage实例并且复制之前sessionStorage中的内容,但在此之后,不同页面对应的sessionStorage互不影响。
3.原因分析
先说下为什么要将token存到sessionStorage中,原因有二:
1.不希望打开网站时自动登录,这个利用了sessionStorage生命周期方面的特性;
2.希望可以在一个浏览器窗口的不同标签页上登录不同的用户,这一点利用了sessionStorage只能访问当前标签页对应实例数据的特性。
结合一开始的背景,猜想一下,如果是在一个新标签页中打开其它网站时,之前网站的sessionStorage会如何运作呢?
接着我们做一个实验,在网站A中添加如下代码:
if (!sessionStorage.getItem("time")) {
sessionStorage.setItem("time", new Date().getTime().toString());
}
接着使用window.open("b.site", "_blank")打开网站B,再从网站B使用window.open("a.site", "_self")在第二个标签页跳转到网站A,对比两个标签页中sessionStorage的time对应的值,发现两者一致。
这说明了从B网站跳会A网站时,time这个值是原先就从A网站“复制”到B网站的,而不是进入A网站时再重新生成的,只不过在B网站的域名下,没法直接看到这个time值。
4.终极结论
在新窗口或标签页中打开其它网站时,也会复制一份当前网站的sessionStorage内容,只是在新网站的域名下无法直接访问这部分sessionStorage。
这个结论我个人查阅了很多资料,都没有看到相关的描述,都是在千篇一律地说打开同网站的情况。此结论可能表述上有所偏差,但实践的结果是显而易见的。
5.思考
经过上面的分析和实践,我们清楚了在新窗口或标签打开同网站以及不同网站时,sessionStorage的运作机制。再结合产品设计看,如果存在多个网站反复横跳的场景,并且要考虑是否需要自动登录的多种复杂情况,sessionStorage可能需要再琢磨一下是否能作为存储登录信息的最佳选择了。
6.后续
原本以为此事就此完结了,后来实验发现除了sessionStorage,localStorage和cookie这两种存储方式,也同样会在打开新标签页时对之前网站的数据进行复制。而到底能不能访问这些复制过来的数据,关键还是看同源策略,是否跟之前的标签页是同一网站。如果是,就可以访问这些数据;否则就不能访问,但不能访问不代表没有复制数据。
