Bueno, depende. Si tiene una vulnerabilidad XSS dentro de su aplicación, un atacante puede extraer y usar el JWT de su almacenamiento local.
Un método que he usado y creo que Auth0 indica es usar la cookie como almacenamiento JWT y usar las marcas Sólo HTTP y seguro de esta manera si tiene una vulnerabilidad XSS, la cookie no puede ser Lee y solo se transporta de forma segura. CSRF es un riesgo menor en estos días ya que todos los marcos modernos incluyen la mitigación de CSRF.
Esto significaría que la validación extrae el JWT de la cookie en el lado del servidor para validar. Mi opinión personal es utilizar una cookie como almacenamiento, ya que CSRF es más fácil de encontrar y mitigar en comparación con los ataques XSS que tienen una gran superficie de ataque.