LFR_SESSION_STATE_ * куки создаются и управляются из клиентского javascript ( код session.js ) и используются только для контроля метки времени истечения сеанса пользователя: пользователю при его сеансе отображается предупреждение javascript истекает или истек, без каких-либо запросов к серверу Liferay.
Поскольку они не отправляются на сервер и контролируют только время ожидания сеанса, они не являются проблематичными.
Они не настроены с флагами "httpOnly" или "secure", поскольку они являются cookie-файлами только для клиента.