HttpOnly cookie vs localStorage?

HttpOnly cookie: JavaScript не может прочитать (document.cookie не видит), автоматически отправляется с запросами, нужна CSRF защита (SameSite или токен). localStorage: доступен из JS, удобно для SPA (fetch с Authorization header), но XSS атака может украсть токен. На практике: refresh token — всегда HttpOnly cookie. Access token — в памяти или short-lived HttpOnly cookie. localStorage для токенов — антипаттерн в security-critical приложениях.