Почему refresh token часто хранят в httpOnly cookies?

Question

Refresh token часто хранят в httpOnly cookies, потому что такие cookies недоступны из JavaScript. Это защищает токен от XSS-атак. Браузер автоматически отправляет cookie с запросами к серверу. Такой подход снижает риск кражи токена через вредоносный скрипт. Это считается best practice для SPA.

YeaHub · Accepted Answer

Refresh token является самым чувствительным элементом JWT-авторизации, поэтому его хранение требует максимальной защиты.Что такое httpOnly cookieshttpOnly cookies — это cookies, к которым JavaScript не имеет доступа.Ключевые свойства:Нельзя прочитать через document.cookieНедоступны для JS-кодаОтправляются браузером автоматическиПочему это важно для refresh tokenЕсли refresh token хранится:в localStorageв sessionStorageто при XSS-атаке злоумышленник может:прочитать токенсохранить егоиспользовать для бесконечного обновления access tokenПреимущества httpOnly cookiesЗащита от XSSАвтоматическая отправка на backendМинимизация логики на frontendДополнительные меры безопасностиЧасто используются вместе с:Secure — cookie передаётся только по HTTPSSameSite — защита от CSRFВлияние на frontendFrontend:не читает refresh token напрямуюпросто отправляет запрос на refreshполучает новый access tokenВывод:Хранение refresh token в httpOnly cookies — это компромисс между удобством и максимальной защитой от XSS-атак.