عنصر اصلی از خطر XSS است. اگر هر برنامه XSS در برنامه شما وجود داشته باشد، می توان آن را به طور بی عیب و نقص نشان داد.
به محض اینکه یک Token به سرقت رفته باشد، مهاجم می تواند کاملا کاربر را جعل کند.
برای من روشن نیست به همین دلیل است که شما باید این کوکی ها را در خارج از HTML قرار دهید: آیا می توانید از کوکی دیگری برای ذخیره عنصر عمومی کوکی استفاده کنید (شاید کل بارگیری یا به سادگی انقضا و هر چیزی که برای مشتری خود نیاز دارید تا دریابید که آیا نیاز است به پورتال auth بروید) و نشانه های JWT را در کوکی های HTTP تنها نگه دارید؟
