我正在開發(fā)一個項(xiàng)目，該項(xiàng)目涉及使用 React 構(gòu)建的 SPA Web 應(yīng)用程序，該應(yīng)用程序連接到運(yùn)行 Express 的 API。然而，有一點(diǎn)我無法理解。我搜索了一些問題，但找不到任何包含后端 API 端 IP 限制的答案。我想將 JWT 發(fā)送給從 SPA 登錄的授權(quán)用戶，并將 JWT 存儲在客戶端的本地存儲中。后端 API 只能從 SPA 的 IP 地址訪問，并且將對任何其他 IP 關(guān)閉。CORS 將配置為僅適用于 SPA 域名。那么考慮到這種配置，將 JWT 存儲在 localstorage 中是否仍然不安全？由于該API仍然只能由一個IP訪問，那么攻擊者通過XSS攻擊搶到access Token后如何使用呢？