В общем, сделал именно так. Api-сервер устанавливает cookies, недоступные из веб-приложения, через ответ на Ajax запрос (самый банальный случай — при входе в аккаунт), а при последующем открытии сайта (при SSR) frontend сервер просто пробрасывает необходимые заголовки, в том числе и заголовок с cookies. В качестве api — rails (плюс, возможно, добавится что-то ещё), в качестве frontend сервера — sapper.