Вы можете создать обычные cookie, в которых будете хранить поле login=1, которое вы сможете спокойно удалить в offline и при следующем обращении к серверу выдать пользователю страницу авторизации. Также в случаи XSS атаки, максимум что можно будет сделать, это разлогинить пользователя.
Т.е. при отправки куки с сессией отправлять еще один куки без хттпОнли, и проверять эту куку на наличие на клиенте. Это распространенная практика? В принципе, так пока и выкрутился. ПОхоже други вариантов особо и нету.
