如果jwt的token存在localStorage，又通过xss攻击被获取了怎么办，这样是不是就可以进行跨站伪造请求来向服务器发送非法请求了？还是说可以在token外边再加一个ase请求，刚接触jwt不太了解