HttpOnly Cookieは、JavaScriptなどのスクリプト言語でnotを使用できることを意味します。したがって、JavaScriptには、CookieのHttpOnly属性を取得/設定するAPIがまったくありません。そうしないと、HttpOnlyの意味が失われます。
サーバー側が使用しているサーバー側言語を使用して、サーバー側でそのように設定するだけです。これでJavaScriptが絶対に必要な場合は、たとえば(ajax)リクエストを送信するだけにすることを検討できます。サーバー側言語をトリガーしてHttpOnly Cookieを作成する特定の要求パラメーター。ただし、ハッカーがXSSだけでHttpOnlyを簡単に変更し、JS経由でCookieにアクセスできるようにすることで、CookieのHttpOnlyをまったく役に立たなくすることができます。