Um usuário pode ler meus cookies de sessão?

Os cookies confidenciais, como os cookies de sessão, são protegidos com HttpOnly. Um cookie HttpOnly impede que scripts do lado do cliente acessem os dados.

Outra camada de proteção é a Política de Segurança de Conteúdo CSP, que impede o carregamento de scripts ou o envio de dados a servidores de terceiros que não estejam na lista branca.

Para proteger ainda mais as sessões dos usuários, implementamos um token CSRF Cross-Site Request Forgery como uma medida de segurança adicional. Um token CSRF acrescenta uma camada extra de verificação, garantindo que todas as solicitações confidenciais sejam originadas de nosso próprio aplicativo. Esse token é exclusivo da sessão do usuário e deve ser enviado junto com a solicitação, tornando praticamente impossível que sites de terceiros executem ações em nome de um usuário sem autorização.

Ao criar uma página de destino, você também pode usar o código JavaScript. Quando você tiver uma conta gratuita, a página de destino terá um URL como este http://free.qrplanet.com/your-landing-page. Quando outro usuário criar uma página de destino com código JavaScript e você chamar o URL dele, por exemplo, http://free.qrplanet.com/another-landing-page, quando você estiver conectado, será exibido um aviso para proteger sua conta contra o roubo de cookies.