安全问题：SPA的JWT + cookies

Question

我正在阅读有关JWT，刷新令牌sessionIds以及如何使用SPA构建安全身份验证的内容。根据我的理解（假设一切都是HTTPS），

• 仅使用JWT（或者说就是refreshToken），存储在localStorage / sessionStorage中：易受XSS攻击。
• 仅使用存储在HTTPonly cookie中的sessionID（有状态服务器）：易受CSRF攻击。
• 使用存储在HTTPonly cookie中的JWT（无状态服务器）：易受CSRF攻击。

所以我的想法：为什么不将短期JWT存储在localStorage和HTTPonly cookie中的sessionID中？这个方案有安全问题吗？我无法在这种做法的网络上找到很多信息，为什么会这样？

感谢。