我正在開發一個項目，該項目涉及使用 React 構建的 SPA Web 應用程序，該應用程序連接到運行 Express 的 API。然而，有一點我無法理解。我搜索了一些問題，但找不到任何包含后端 API 端 IP 限制的答案。我想將 JWT 發送給從 SPA 登錄的授權用戶，并將 JWT 存儲在客戶端的本地存儲中。后端 API 只能從 SPA 的 IP 地址訪問，并且將對任何其他 IP 關閉。CORS 將配置為僅適用于 SPA 域名。那么考慮到這種配置，將 JWT 存儲在 localstorage 中是否仍然不安全？由于該API仍然只能由一個IP訪問，那么攻擊者通過XSS攻擊搶到access Token后如何使用呢？