Cookies vs Local Storage

Cookies автоматически отправляются браузером на сервер при каждом запросе к соответствующему домену (удобно для сессий и аутентификации), но они участвуют в механизме CSRF (браузер отправляет их даже для межсайтовых запросов) и доступны, если не HttpOnly, через JS. Local Storage – хранение данных целиком на клиенте: ничего автоматически не отправляется, разработчик сам передает токен из Local Storage в заголовке (например, Authorization). Local Storage не подвержен CSRF (не отправляется браузером без ведома JS), но уязвим для XSS (злоумышленник может попытаться вытащить токен из скрипта). Выбор зависит от требований безопасности приложения.