例如，他们是否可以简单地复制cookie并作为原始cookie所有者的用户“登录”？

Yes! 通过cookie，他们基本上拥有您的登录会话。您不希望第三方获得cookie。请记住，前端和后端有不止一个cookie。

我这样问是因为我计划在不同的服务器之间传递auth cookie值。

我建议不要跨服务器发送实际的cookie。这听起来像是一个XY问题，不是问如何解决问题X, 您询问了如何实施或修复解决方案Y. 有更好的方法可以跨多个服务器处理用户（其中一些是Cookie工作方式的一部分），但这取决于您所做的事情，因此您需要问一个新问题（可能在另一个堆栈上）