关于sessionStorage，老手也未必知道的细节

1.背景

公司里面有多个产品，对应多个网站，登录网站A，记录登录信息（token）到sessionStorage中，然后在新标签页中打开网站B，再从当前标签页使用window.open()返回网站A，“神奇”的事情发生了，网站A居然完成了自动登录。

2.基础知识

关于sessionStorage，有几个常见的规则和特性，稍微有一些前端开发经验的人都清楚：

• 生命周期：sessionStorage中存储的数据在浏览器会话期间有效，当关闭浏览器窗口或标签页时，sessionStorage中的数据将被清除；

• 数据隔离：每个域名（网站）都有自己的sessionStorage空间，不同域名之间的sessionStorage是彼此隔离的；

• 数据访问：sessionStorage中的数据只能在同一个浏览器窗口或标签页中访问，如果在新的窗口或标签页中打开同一个网站，它将创建一个新的sessionStorage实例并且复制之前sessionStorage中的内容，但在此之后，不同页面对应的sessionStorage互不影响。

3.原因分析

先说下为什么要将token存到sessionStorage中，原因有二：
1.不希望打开网站时自动登录，这个利用了sessionStorage生命周期方面的特性；
2.希望可以在一个浏览器窗口的不同标签页上登录不同的用户，这一点利用了sessionStorage只能访问当前标签页对应实例数据的特性。

结合一开始的背景，猜想一下，如果是在一个新标签页中打开其它网站时，之前网站的sessionStorage会如何运作呢？

接着我们做一个实验，在网站A中添加如下代码：

if (!sessionStorage.getItem("time")) {
    sessionStorage.setItem("time", new Date().getTime().toString());
}

接着使用window.open("b.site", "_blank")打开网站B，再从网站B使用window.open("a.site", "_self")在第二个标签页跳转到网站A，对比两个标签页中sessionStorage的time对应的值，发现两者一致。
这说明了从B网站跳会A网站时，time这个值是原先就从A网站“复制”到B网站的，而不是进入A网站时再重新生成的，只不过在B网站的域名下，没法直接看到这个time值。

4.终极结论

在新窗口或标签页中打开其它网站时，也会复制一份当前网站的sessionStorage内容，只是在新网站的域名下无法直接访问这部分sessionStorage。

这个结论我个人查阅了很多资料，都没有看到相关的描述，都是在千篇一律地说打开同网站的情况。此结论可能表述上有所偏差，但实践的结果是显而易见的。

5.思考

经过上面的分析和实践，我们清楚了在新窗口或标签打开同网站以及不同网站时，sessionStorage的运作机制。再结合产品设计看，如果存在多个网站反复横跳的场景，并且要考虑是否需要自动登录的多种复杂情况，sessionStorage可能需要再琢磨一下是否能作为存储登录信息的最佳选择了。

6.后续

原本以为此事就此完结了，后来实验发现除了sessionStorage，localStorage和cookie这两种存储方式，也同样会在打开新标签页时对之前网站的数据进行复制。而到底能不能访问这些复制过来的数据，关键还是看同源策略，是否跟之前的标签页是同一网站。如果是，就可以访问这些数据；否则就不能访问，但不能访问不代表没有复制数据。