Meine Herren,

hi,

Zudem gibt es bei Cookies (welche ja auch bei Sessions im einsatz sind) die Beschränkung auf Domains. Würde man von der fremden Seite zugreifen, würde das Cookie nicht von der Richtigen Seite gesetzt und somit vom Browser nicht mitgesendet. Zwar keine Volle sicherheit, dürfte aber schon einschränken.

Nein, der Cookie kommt ja gerade von der Seite, die die API zur Verfügung stellt und nicht von der anfragenden Seite.
Eben und das wäre die Hürde für die fremde Webseite!

Nein, der Cookie kann einfach aus dem HTTP-Response [w3c] gelesen werden. Wo ist das Porblem?