re: XSS и CSRF. Я думал об использовании подхода с двумя токенами, один из которых хранится в локальном хранилище, а другой - в cookie-файле HttpOnly, чтобы они были разными токенами, но при расшифровке они могут быть проверены на согласованность друг с другом. ... кто-нибудь сделал это?
мысли