Я провел некоторое исследование, где хранить токен доступа после входа в систему. Люди говорят, что локальное хранилище небезопасно, поскольку его можно прочитать с помощью javascript (уязвимо для XSS), и вместо этого рекомендуют файлы cookie только для http.
Но допустим, мой веб-сайт уязвим для XSS и запускается некоторый вредоносный код для получения данных из моего API. Он все равно должен работать, так как cook ie просто автоматически добавляется к запросу, верно? Они не знают, что такое повар ie, но запрос все равно работает. С XSS вредоносный код будет работать так, как будто он с моего сайта.
Правильно ли я в этом?