Por lo que cuentas creo que te refieres al PHPSESSID.
Que es lo que quieres modificar de la cookie?, puede cambiar el nombre de PHPSESSID por el que quieras, puedes cambiarle el tiempo de expiración de la cookie, el path, etc.
Pero esas modificaciones no sirven para evitar un xss, la unica modifcación que se me ocurre es usar la cabecera httponly, que por lo que entendi es para evitar que mediante javascript se pueda leer o escribir en la cookie.
Httponly es una buena opción pero a mi parecer no es la optima, ya se han mostrado metodos para hacer bypass a este metodo.
La mejor forma de evitar un xss a mi parecer es, Validar todo lo que ingrese el usuario.
De todas formas te dejo el link de las opciones para modificar la id de session.
http://php.net/manual/en/session.configuration.phpTienes que hacerlo mediante el php.ini, o mediante init_set.
Saludos