もとひこさん、おおたさん、コメントありがとうございます。

もじら組のスレッドにも書いたのですが、

• http://www.ietf.org/rfc/rfc2109.txt (6.3)

4096byteは上限ではなく下限でした。なので、表題の「最大サイズ」というのは誤りだと思います（すいません……）。何バイトブラウザが送ろうが仕様上は問題なくて、サーバ側で対処すべき問題なのかもしれません。

しかし、現実には、多くのブラウザが4kを超えるサイズのクッキーをサーバに送信しないように制限をかけていて、たとえばもとひこさんに教えていただいた、

• http://bugzilla.mozilla.org/show_bug.cgi?id=219448

なんかでは、

Mozilla handles cookies correctly; it refuses to store cookie with a length greater than 4096 bytes.

というように言っていたりするわけです。で、上記のスクリプトがその制限をすり抜けている（らしい）ということから、やはりブラウザ側の修正が必要なんじゃないかと個人的には思います。