Описание тега httponly
HttpOnly - это флаг в заголовке файла cookie, чтобы скрыть данные из JavaScript.
HttpOnly - это флаг в заголовке файла cookie, указывающий, что браузер должен скрыть этот файл cookie от JavaScript и использовать его только для запросов HTTP и HTTPS.
Важная заметка
HttpOnly просто немного затрудняет эксплуатацию уязвимостей XSS. Он не обеспечивает защиты от XSS.
Внешняя ссылка