Я читал, что при использовании JWT нет необходимости защищать от атак CRSF, например: ", поскольку вы не полагаетесь на файлы cookie, t необходимо защитить от запросов на межсайтовый сайт".
Однако я не понимаю: если я храню токен в localStorage (как мне посоветовали в учебнике того же сайта), что мешает злоумышленнику подделывать вредоносный запрос, читая мой localStorage вместо моих файлов cookie?
Поскольку он был сгенерирован на стороне сервера, я не понимаю, как использовать токен для запроса клиента без его хранения где-то на клиенте.