В целях защиты REST API с использованием JWT, в соответствии с некоторыми материалами (например,руководство и этовопрос), JWT может храниться либо вLocalStorage или жеПеченье, Исходя из моего понимания:

LocalStorage подвергается XSS, и, как правило, хранить в нем конфиденциальную информацию не рекомендуется.СПеченье мы можем применить флаг «httpOnly», который снижает риск XSS. Однако, если мы хотим прочитать JWT из Cookies на бэкэнде, мы подвергнемся CSRF.

Исходя из вышеизложенного, будет лучше, если мы будем хранить JWT в Cookies. При каждом запросе к серверу JWT будет считываться из Cookies и добавляться в заголовок авторизации с использованием схемы Bearer. Затем сервер может проверить JWT в заголовке запроса (в отличие от чтения его из файлов cookie).

Правильно ли мое понимание? Если да, имеет ли вышеуказанный подход какую-либо проблему безопасности? Или на самом деле мы можем просто избежать использования localStorage?