Sunucu bazlı olmayan her işlem yani client tarafı ile alınan her önlem aşılabiliyor. Örnek vereyim; Spotify api mantığı ile login oluyor cookie'n yoksa 401 döndürüyor, referer spotify değilse 401 döndürüyor özel token veriyor ama onu da cookie içinde tutuyor bot yapan ya da api yapan kişi anasiteye istek atıyor cookieleri alıyor ve ikinci isteğinde cookie içindeki tokeni kullanarak yapıyor. O yüzden server taraflı koruma bulmaya çalışın hocam.