Считаю, что даже если в куках нет ничего интересного, от XSS нужно защитить все переменные, потому что XSS сейчас - это даже не уязвимость, а показатель небрежности веб-мастера.