cookie محل ذخیره سازیش سمت کاربر و در مروگر هست که اگر براش زمان انقضا تعیین نکیند همینطور تو اونجا میمنونه مگر اینکه کاربر تاریخچه مرورگر خودشو ریست کنه یا شما از تو برنامه خودتون اونو از بین ببرید.
یه قانون طلایی امنیت هست که میگه هیچوقت چیزای مهم رو در سیستم کاربر ذخیره نکنید چون جدایی از پاک شدن ناگهانی اونها احتمال حمله و شنود رو بالا می بره که یکی از اون موارد می تونه حملاتی که شما نام بردید باشه(CSRF).
با توجه به موارد بالا بهتره برای شناسایی کاربر از session استفاده بشه که سمت سرورذخیره میشه برای امنیت بیشتر بهتره اونهم انکریپت بشه و برای مواردی مثل عکس ها و تم ها و علایق کاربری که درجه اهمیت کمتری داره در cookie ذخیره بشه.