Существует очень мало причин, по которым JavaScript должен обращаться к сеансовому cookie.Единственный, с кем я столкнулся, - это тот, где Flash должен был иметь доступ к куки, потому что он должен был делать свои собственные запросы, которые были авторизованы через те же куки.И чтобы вспомнить куки, мне пришлось распечатать куки на странице (что сделало их доступными для JS).
Это все равно работало бы с установленным флагом HttpOnly (но этот флаг был бы избыточным).
Короче говоря, да, установите флаг.