Проблема безопасности - доступ к файлам cookie, содержащим пользовательский тайм-аут и время последнего обращения к дате и времени

Первоначально мы передавали пользовательское значение тайм-аута и другое значение даты-времени, которое указывает, когда в последний раз был сделан запрос сервера в файле cookie состояния, и прочитало его во внешнем интерфейсе (javascript в некоторых частях приложения / машинописного текста в других частях приложение) для запуска тайм-аута сеанса на стороне клиента и перенаправления на страницу тайм-аута.

Мы используем утилиту javascript в некоторых частях старого унаследованного кода, которая проверяет значение даты и времени последнего доступа из файла cookie tstate, а также значение времени ожидания и определяет, когда следует истечь время ожидания приложения. В наших приложениях Angular мы используем перехватчик ответа http и setInterval() для тайм-аута приложения (снова считывая значение тайм-аута из файла cookie состояния)

Теперь нам нужно воссоздать эту функцию, не полагаясь на значения, возвращаемые из файла cookie из-за проблем безопасности.

Мы решили пойти по пути установки флага HttpOnly в файле cookie сеанса, но ключевой вопрос заключается в том, где взять значение тайм-аута и последнее значение активности и где было бы наилучшее место для его хранения, чтобы к нему можно было получить доступ. как угловыми приложениями, так и устаревшим кодом.

Любые идеи по этому поводу будут с благодарностью.

Спасибо