Куку вы и сами можете отдать перейдя по ссылки с говноскриптом. И пофигу localhost или нет. По остальному вы в сети работаете, этим все сказано, вокруг вас гарантированно ненадежное окружение. А защита решается докером.
Может я что-то не понимаю, но как перейдя по ссылке можно получить куку с локалхоста или другого сайта? Неужели браузер допустит такое и поделится ей?
Как вариант можно просто отключить сохранение ключа и секретки в куках.
И прочитал про докер. Довольно сомнительная технология. Я бы никогда на такое не подписался.
Проще из php создавать архив наподобие rar и паролировать его ключом.
Скажем сделать пароль на куку. В куки будут сохраняться все параметры в виде json-строки, сжатой методом rar с паролем. Но все равно можно выдернуть куку в виде непонятных символов и проводить подбор пароля, это уже сложнее, особенно если сделать пароль 30-значным.
Под API бинанса бота уже переделал. Пока не запустят регистрацию, проверить его работу не смогу.