HttpOnly cookie — это такие куки, которые невозможно прочитать с помощью javascript, но доступные серверным скриптам, как и любые другие. Несмотря на то, что это совсем не новая технология (HttpOnly cookie появились 8 лет назад в IE6 SP1), далеко не все знают, почему их обязательно стоит использовать.
Зачем это нужно
Куки, недоступные из джаваскипта, помогут защитить от XSS-атак, как второй рубеж обороны от злоумышленников. Прокравшийся на страницу вредоносный код не сможет утащить пользовательские куки с помощью document.cookie.
Где это работает
Основная мысль: это работает во всех популярных и современных браузерах (IE6+, Firefox 2.0+, Chrome 1.0+, Opera 9.5+, Safari 4.0+) Подробнее можно ознакомиться на сайте browserscope (раздел Security).
HttpOnly cookie легко установить в php, django. Чтобы установить куки собственноручно через передачу заголовка ответа, достаточко добавить параметр ; HttpOnly
Set-Cookie: <name>=<value>[; <Max-Age>=<age>]
[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]Демо
Подробно про HttpOnly cookie на сайте Open Web Application Security Project
