饼干：

在HTML5之前介绍。 有有效期。 通过JS或浏览器的“清除浏览数据”或过期日期清除。 将每个请求发送到服务器。 容量为4KB。 只有字符串可以存储在cookie中。 有两种类型的cookie:持久cookie和会话cookie。

本地存储:

由HTML5引入。 没有过期日期。 由JS或浏览器的“清除浏览数据”清除。 您可以选择何时必须将数据发送到服务器。 容量为5MB。 数据是无限存储的，必须是字符串。 只有一种。

使用localStorage, web应用程序可以在用户的浏览器中本地存储数据。在HTML5出现之前，应用程序数据必须存储在cookie中，包含在每个服务器请求中。大量数据可以存储在本地，不影响网站性能。虽然localStorage更现代，但这两种技术都有一些优点和缺点。

饼干

Pros

遗留支持(它一直存在) 持久数据 到期日期 cookie可以被标记为仅HTTPOnly，这可能会限制用户浏览器在会话期间的XSS攻击(不保证对XSS攻击完全免疫)。

Cons

每个域将其所有cookie存储在单个字符串中，这可以使 解析数据困难 数据未加密，这成为一个问题，因为... ...虽然 小的大小，cookie发送与每个HTTP请求限制大小 (4 kb)

本地存储

Pros

大多数现代浏览器支持 直接存储在浏览器中的持久数据 同源规则适用于本地存储数据 不是每个HTTP请求都发送吗 每个域约5MB的存储空间(即5120KB)

Cons

之前的任何版本都不支持:IE 8, Firefox 3.5, Safari 4, Chrome 4, Opera 10.5, iOS 2.0, Android 2.0 如果服务器需要存储的客户端信息 发送它。

localStorage的使用几乎与会话的使用相同。它们有非常精确的方法，所以从session切换到localStorage真的很简单。但是，如果存储的数据对您的应用程序非常重要，您可能会使用cookie作为备份，以防localStorage不可用。如果你想检查浏览器对localStorage的支持，你所要做的就是运行这个简单的脚本:

/* 
* function body that test if storage is available
* returns true if localStorage is available and false if it's not
*/
function lsTest(){
    var test = 'test';
    try {
        localStorage.setItem(test, test);
        localStorage.removeItem(test);
        return true;
    } catch(e) {
        return false;
    }
}

/* 
* execute Test and run our custom script 
*/
if(lsTest()) {
    // window.sessionStorage.setItem(name, 1); // session and storage methods are very similar
    window.localStorage.setItem(name, 1);
    console.log('localStorage where used'); // log
} else {
    document.cookie="name=1; expires=Mon, 28 Mar 2016 12:00:00 UTC";
    console.log('Cookie where used'); // log
}

"安全(SSL)页上的localStorage值是隔离的" 有人注意到，请记住localStorage将不会 可用，如果你从'http'切换到'https'安全协议，其中 cookie仍然可以访问。这很重要 如果您使用安全协议，请注意。

饼干:

可以通过JavaScript访问，所以Cookie的数据可以被XSS窃取 攻击(跨站点脚本攻击)，但设置HttpOnly标志 Cookie阻止JavaScript访问Cookie的数据 保护免受XSS攻击。 是易受CSRF(跨站点请求伪造)，但设置 带Lax到Cookie的SameSite标志可以缓解CSRF，而设置带Strict到Cookie的SameSite标志可以防止CSRF CSRF。 必须有到期日，所以当到期日过后，Cookie是 自动删除，所以即使你忘记删除Cookie， Cookie因过期而自动删除。 通常大小约为4KB(取决于浏览器)。

本地存储:

通过JavaScript访问本地存储的数据可以被XSS窃取 攻击(跨站脚本攻击)，那么，根据我的研究， 对于本地存储的XSS没有简单的预防措施 攻击。 不容易受到CSRF(跨站点请求伪造)的攻击。 没有过期日期，因此如果您忘记删除本地存储 数据，本地存储数据可以永久保存。 一般大小约为5MB(取决于浏览器)。

我建议敏感数据使用Cookie，非敏感数据使用本地存储。

本地存储速度很大程度上取决于客户端使用的浏览器以及操作系统。mac上的Chrome或Safari可能比PC上的Firefox快得多，尤其是使用了更新的api后。和往常一样，测试是你的朋友(我找不到任何基准测试)。

我真的没有看到cookie和本地存储有很大的区别。此外，你应该更担心兼容性问题:不是所有的浏览器都开始支持新的HTML5 api，所以cookie将是你在速度和兼容性方面的最佳选择。

关键的不同点:

容量:

本地存储:10MB 饼干:4 kb

浏览器支持:

本地存储:HTML5 Cookies: HTML4, HTML5

存储位置:

本地存储:仅限浏览器 cookie:浏览器和服务器

随请求发送:

本地存储:是 饼干:不

访问:

本地存储:任何窗口 Cookies:任何窗口。

到期日期:

本地存储:永不过期，直到javascript完成。 cookie:有，有有效期。

注意:使用它，适合你的。

本地存储最多可以存储5mb的离线数据，而会话也可以存储5mb的数据。但是cookie只能以文本格式存储4kb的数据。

LOCAl和Session存储数据为JSON格式，因此易于解析。但是cookie数据是字符串格式。