Целью флага HttpOnly является ограничение ущерба в случае уязвимостей межсайтового скриптинга (XSS) в веб-приложении путем запрета JavaScript для доступа к cookie сеанса. Если ваше веб-приложение написано правильно с самого начала, то есть если оно не уязвимо для XSS, вам не нужно строго указывать флаг HttpOnly для защиты от (на основе XSS) перехвата сеанса. HttpOnly - это всего лишь вторая линия защиты.
Таким образом, если вы не можете использовать флаг HttpOnly из-за ограничений клиента, вы должны убедиться, что все динамические данные должным образом экранированы при включении их в HTML, JS, CSS, JSON или любой другой формат, который вы генерируете, используя соответствующие правила экранирования в зависимости от контекста, чтобы предотвратить XSS. Или используйте фреймворк, который сделает это за вас.