Пользователь
Злоумышленник, добравшийся до какого-нибудь XSS
Но если прятать его в HttplOnly-куку, получается, что токен теперь уязвим и для CSRF, и для XSS. И пряча токен в localStorage остаётся лишь уязвимость XSS. Получается из двух зол, лучше выбрать localStorage. Как считаете?
Но если прятать его в HttplOnly-куку, получается, что токен теперь уязвим и для CSRF, и для XSS. И пряча токен в localStorage остаётся лишь уязвимость XSS. Получается из двух зол, лучше выбрать localStorage. Как считаете?