我正在开发一个项目，该项目涉及使用 React 构建的 SPA Web 应用程序，该应用程序连接到运行 Express 的 API。

然而，有一点我无法理解。我搜索了一些问题，但找不到任何包含后端 API 端 IP 限制的答案。

我想将 JWT 发送给从 SPA 登录的授权用户，并将 JWT 存储在客户端的本地存储中。后端 API 只能从 SPA 的 IP 地址访问，并且将对任何其他 IP 关闭。CORS 将配置为仅适用于 SPA 域名。

那么考虑到这种配置，将 JWT 存储在 localstorage 中是否仍然不安全？由于该API仍然只能由一个IP访问，那么攻击者通过XSS攻击抢到access Token后如何使用呢？