Серверный язык программирования не устаревший, а безопасный

Существует два типа языков программирования сайтов – серверный и клиентский. Серверный выполняется на сервере, а клиентский… как это не удивительно, в клиенте пользователя.

Данные о сессии или защита CSRF хранятся в вашем браузере. Если сайт написан на клиентском языке, значит… эти файлы cookie доступны из клиента. С помощью поддельного кода Javascript можно у вас просто взять и украсть сессию. Хотя конечно же не все так просто как звучит, но тем не менее.

В серверном языке есть определенная настройка для cookie - httpOnly. Она запрещает брать данные из cookie любому Javascript, а значит и клиенту. Никто кроме сервера, не может видеть вашу сессию.

Конечно, существуют другие настройки безопасности для файлов куки, такие как secure, samesite и прочие. Но всё это ерунда. Если что-то есть и его можно взять, всегда найдется способ это сделать.