Alguem bom em segurança poderia me ajudar?

Estou tentando criar um site para as pessoas enviarem mensagens, é um projeto pessoal meu mas eu queria que alguém pudesse me ajudar, pois eu sei que a questão de cookies de sessão é muito complexa e queria saber de algumas dicas de como eu posso manter-os seguros, eu tava pensando em um token que o site gera e depois vai para o servidor criptografado e o cookie e httponly, mas queria mais ideias!