Странно, на проекте который я разрабатываю, все куки стоят с http-only flag, который запрещает доступ к куке из javascript. А кука сессии лежит не целиком, это всего лишь один из составляющих компонентов для генерации полного айди сессии (еще соль, браузер, айпи). Вобщем, повыделывался).