JWTをlocalStorageに保存してはいけないのか? - QiitalocalStorageは危ない? いくつかの記事で見かけましたが、localStorageはXSSが発生すると中身を参照できるので、JWTトークンを保存すべきではない。という記事です。確かにAuth0の記事にも、そのようなことが書かれていますね。まあAuth0の記事は、XSSを含め悪意のあるJavascriptで見れないようにしないといけないという論調でしょうか。 確かに「httpOnly:true」で「secure:true」ならおそらく盗めませんが。 localStorageはクロスドメインでは参照できないですよね 調べてみると、当たり前ですがlocalStorageは基本クロスドメインでは読めない。(iFrameとPostMessageを利用してい、参照される側のドメインのスクリプトで渡してやれば別ですが) うーん、問題ないんじゃない? XSSされたらJWTトークンなていらないです
