ユーザ入力値をCookieの値に設定して返すアプリケーションを構築する際は、
入力値に改行コードが含まれていた場合の危険性を考慮しなければならない。
http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html
javax.servlet.http.Cookieに改行コードを与えた場合の挙動を確認してみた。

　Cookie cookie = new Cookie("hoge", "hoge\r\n");
　response.addCookie(cookie);
　↓
　java.lang.IllegalArgumentException

安全安全。

【追記】servletのversionで動きが変わるみたい。むむむ・・・