angularjs – NodeJS：在客户端存储JWT的位置？ sessionStorage,

到目前为止我得到了什么：

可能的地方：

> HTML5 Web存储(localStorage / sessionStorage)
>饼干

Web存储(localStorage / sessionStorage)可通过同一域上的JavaScript访问.这意味着您站点上运行的任何JavaScript都可以访问Web存储,因此可能容易受到跨站点脚本(XSS)攻击.

localStorage具有不同的到期时间,sessionStorage只能在创建它的窗口打开时才能访问.
localStorage会一直持续到您删除它或用户删除它为止.

当与HttpOnly cookie标志一起使用时,Cookie无法通过JavaScript访问,并且不受XSS的影响.但是,cookie很容易受到跨站点请求伪造(CSRF)的攻击.

那么最安全的JWT存储方式是什么呢？