Und wie soll dann Javascript deinen String entschlüsseln, wenn du ihn nicht an den Client schickst? Selbst bei LocalStorage o.ä. musst du den Key zumindest einmal an den Client senden.

Der String wird in einer App verschlüsselt. In der App kann der Nutzer den Key lesen und gibt ihn dann auf der Internetseite an, wo der Key in einen Cookie gespeichert wird (natürlich alles mit Javascript verarbeitet).