Entrambi i cookie e la localizzazione sono accessibili tramite le API JavaScript. Quando l'utente malintenzionato può inserire JavaScript nel documento html della destinazione, può leggerlo e scriverlo ugualmente.
Un commento parla di cookie solo http. Ma non è possibile accedere a tali applicazioni tramite le applicazioni JavaScript lato client, quindi non sono in competizione con la localizzazione nella maggior parte degli scenari.
Ma una cosa che devi tenere a mente è che non esiste un cookie javascript-only . Quando memorizzi informazioni riservate in un cookie, tali informazioni verranno inviate al server ad ogni richiesta. Quando non usi https, verrà inviato in chiaro. Questo però non ha nulla a che fare con le iniezioni di XSS.