cookieが盗まれる原因の一つとして

XSSが存在する場合が挙げられる。

任意のJavascriptが埋め込める状態になっていると、Cookieを盗むことができる。