Я следую этому уроку по JWT, используя GraphQL .
В этом уроке
Как насчет сохранения его в кулинарии ie?
Создание файлов cookie на клиенте для сохранения JWT также будет подвержено XSS. Если он может быть прочитан на клиенте из Javascript вне вашего приложения - его можно украсть. Вы можете подумать, что готовит HttpOnly ie (созданный сервером, а не клиентом), но куки-файлы уязвимы для CSRF-атак. Важно отметить, что разумные и разумные политики CORS HttpOnly не могут предотвратить атаки CSRF с отправкой форм, а использование файлов cookie требует правильной стратегии смягчения последствий CSRF.
Таким образом, автор сохраняет JWT в памяти (переменная) .
Но я прочитал в этом ТАК сообщении , что javascript может читать другие переменные.
XSS происходит, когда злоумышленник может запустить Javascript на сайте. При наличии уязвимости XSS злоумышленник может читать / устанавливать файлы cookie, передавать данные пользователя на сервер злоумышленника, читая переменные javascript. Итак, как безопаснее сохранить JWT в оперативной памяти, чем хранить в локальном хранилище или файлах cookie?
Я что-то упустил? (Может быть, потому что я искал это, и у меня ничего нет на inte rnet.)