Cookie-флаги безопасности

HttpOnly (недоступен JavaScript, защита от XSS), Secure (отправка только по HTTPS), SameSite (ограничение кросс-сайтовой отправки, защита от CSRF).