Как можно защитить cookies от доступа со стороны JavaScript?

Используя флаг HttpOnly.

Флаг HttpOnly указывает браузеру, что данная cookie не должна быть доступна через клиентские скрипты (например, JavaScript). Это помогает предотвратить атаки типа межсайтового скриптинга (XSS), когда злоумышленник может получить доступ к содержимому cookie и украсть чувствительную информацию.

Пример установки cookie с флагом HttpOnly на стороне сервера (например, Node.js с Express):

// Установка cookie "session_id" со значением "abcdef12345"
// и флагом HttpOnly.
res.cookie('session_id', 'abcdef12345', { httpOnly: true });

Если cookie установлена с флагом HttpOnly, при попытке получить к ней доступ через document.cookie или другие клиентские API, ее значение будет отсутствовать в строке или возвращать пустое значение, тогда как другие cookie без этого флага будут доступны.