Декодер/Гайды/Где хранить JWT: localStorage vs cookie
Гайд
Где хранить JWT: localStorage vs cookie
От того, где вы храните JWT в браузере, зависит риск XSS и CSRF.
localStorage: удобно, но читается из JavaScript, поэтому уязвимо к XSS — внедрённый скрипт может украсть токен.
HttpOnly cookie: JavaScript не может его прочитать, устойчиво к XSS, но отправляется автоматически, поэтому нужна защита от CSRF (SameSite / CSRF-токен).
Рекомендуется: хранить токен обновления в cookie с HttpOnly, Secure и SameSite, а токен доступа — недолго в памяти (переменной).
Где бы вы ни хранили, HTTPS обязателен; держите срок жизни коротким и никогда не кладите чувствительные данные в полезную нагрузку.