我正在从事一个项目，该项目涉及使用React构建的SPA Web应用程序，并连接到运行Express的API。

我已经阅读了许多有关stackoverflow的文章和问题。 （特别是这个link的答案非常详细）。但是，有一点我无法理解。我搜索了问题，但找不到任何包含后端API端IP限制的答案。

我想将JWT发送给从SPA登录的授权用户，并将JWT存储在客户端的localstorage中。后端API仅可从SPA的IP地址访问，并且对其他任何IP均不开放。 CORS也将配置为仅与SPA域名一起使用。

因此，考虑到此配置，将JWT存储在本地存储中仍然不安全吗？由于该API仍然只能通过一个IP进行访问，因此攻击者在通过XSS攻击抓住它后如何使用访问令牌？

解决方法