Небольшой JavaScript код, который позволяет хранить и использовать переменные сессии без использования cookies. Он даёт возможность хранить до 2 Мбайт данных (несоизмеримо больше допустимого объёма cookies), которые удивительно легко записывать и считывать.

Достаточно добавить файл sessvars.js (6 Кбайт) в секцию HEAD веб-страницы до скриптов, которые будут затем с ним работать:

...

Как это использовать

Теперь у вас есть доступ к объекту sessvars. Он работает так же, как любой нормальный JavaScript объект — вы можете добавлять к нему новые свойства и изменять значения уже заданным. Единственная разница состоит в том, что sessvars будет доступен на различных страницах вашего сайта. Теперь, если вы в своём скрипте напишете нечто вроде:

sessvars.myObj = {name: "Thomas", age: 35}

на одной веб-странице — вы сможете получить доступ к объекту sessvars.myObj на всех других страницах, по которым пользователь перемещается во время одной сессии.

Методы

Еднственное свойство sessvars, в которое не следует вмешиваться это $, потому что в нём хранятся несколько полезных методов.

sessvars.$.clearMem()

Очищает память sessvars.

sessvars.$.usedMem()

Возвращает количество памяти, используемой sessvars в килобайтах.

sessvars.$.usedMemPercent()

Возвращает количество памяти, используемой sessvars в процентах от доступной.

sessvars.$.debug()

Выводит окно отладчика вверху веб-страницы.

sessvars.$.flush()

Явно сохраняет текущее состояние sessvars перед переходом на другие страницы. Это редко требуется, потому что сохранение происходит автоматически при возникновении сообытия unload.

Настройки

Несколько различных флагов, регулирующих поведение sessvars, которые можно установить:

sessvars.$.prefs.memlimit

[2000 {по умолчанию}]

Сколько килобайт данных, вы можете хранить в sessvars. По умолчанию: 2000 килобайт, потому что Опера 9,25 поддерживает чуть больше этого. IE7.0, Firefox 1.5/2.0 и Safari 3,0 позволяют больше — 10 MB не является проблемой для этих браузеров.

sessvars.$.prefs.autoFlush

[true {по умолчанию} /false]

Включает/выключает автоматическое сохранение (см. методы).

sessvars.$.prefs.crossDomain

[true/false {по умолчанию} ]

Если этот флаг установлен, содержимое sessvars можно читать на разных доменах (если оба сайта используют sessvars.js).

sessvars.$.prefs.includeFunctions

[true/false {по умолчанию} ]

Разрешает передачу функций, сохранённых в sessvars.

sessvars.$.prefs.includeProtos

[true/false {по умолчанию} ]

Если этот флаг установлен true, sessvars сохраняет свойства установленные прототипам различных типов данных/объектов между страницами. Редко требуется.

За кадром: каким образом хранятся данные?

Принципы, лежащие в основе sessvars.js на самом деле довольно просты:

C помощью JavaScript вы можете устанавливать свойство window.name, которое используется при обозначении окон и фреймов для обращения к ним из скриптов.

Замечательная особенность window.name заключается в том, что это свойство сохраняется при перемещении по страницам (даже по разным доменам) и может хранить очень длинное значение. Недостаток в том, что это значение может быть только строкой. Чтобы обойти это, используется JSON stringifier для сериализации/де-сериализации объекта данных, таким образом, появляется возможность упаковки/распаковки передаваемого содержимого.

Обработчик события window unload избавляет от необходимости ручного пересохранения передаваемых данных при каждом изменении содержимого sessvars.

Соображения безопасности.

Флаг crossDomain по умолчанию выключен, однако это означает лишь то, что вы не испортите содержимое вашего sessvars в window.name на других сайтах по ошибке. Фактические данные, которые вы указали будут доступны для просмотра и для других скриптов на других доменах, а также их можно увидеть, если набрать javascript: alert(window.name) в адресной строке браузера.

Поэтому не следует хранить секретную информацию в sessvars, например, пароли, номера кредитных карт и т.п.

Но в некоторых аспектах sessvars.js безопаснее, чем cookies: cодержимое window.name не отправляется на сервер в заголовке запроса, как это происходит с содержимым cookie, поэтому оно не может быть перехвачено.

Thomas Frank, Session variables without cookies