Odpowiedź jak zwykle: to zależy. Jeżeli nie potrzebujesz tego cookie wyciągać w JS, to możesz to zabezpieczyć korzystając z flagi HttpOnly i Secured. Jeżeli korzystasz z jakichś popularnych przeglądarek, to o ile nie ma jakichś luk to z poziomu JSa nie będziesz miał dostępu do nich (ale podczas wysyłania będą już wysyłane). Jeżeli potrzebujesz mieć dostęp do nich z JSa, to cookies będą narażone na XSS. Do tego najlepiek, jeżeli client będzie aplikacją przegladarkowa to możesz się włączyć zabezpieczenie przed CSRF.
Metody są, jeżeli nie masz HttpOnly, to atak XSS, jeżeli nie korzystasz z Https to wystarczy jakiś sniffer żeby wykrasc cookie.
Edit: z drugiej strony cookie ogranicza trochę skalowalnosc systemu. Tutaj by trzeba było wziąć pod uwagę za i przeciw. Czy ważniejsza jest wydajność czy bezpieczeństwo?