同一生成元ポリシー 同一生成元ポリシーは罠ページからオリジナルページへのJSの実行を拒否する仕組みです。なので罠ページにiframeなどでオリジナルページを入れてもcookieやlocalStorageにはアクセスできません。 JWTを認証用トークンに使う時に調べたこと - Carpe Diem