そもそもJWTをセッション管理に使うと、ログアウト時にセッション情報を破棄できず、JWTが漏洩した場合になりすましを防ぐ手段がないという課題があります。これはJWTをどこに保存しても同じです。また、ウェブストレージ（Local StorateやSession Storage）にJWTなどを保存すると、XSSによりJWTそのものが漏洩するのに対して、クッキーにセッションIDを保存する方法はHttpOnly属性を前提とするとセッションIDそのものはXSSにより漏洩しません。この場合でも、ご指摘のようにJavaScriptの攻撃コードによりなりすまし自体は可能ですが、生セッションIDが漏洩する場合に比べて攻撃難易度を少しだけ上げることができます。また、サーバー側でセッション情報を破棄することにより、それ以降の被害を避けることができます。 これらは「事実」であるわけですが、JWTでも攻撃を緩和する手段はあり、セッションID方式に対するメリットが大きい応用であれば、採用するケースはあり得ると思います。