Атрибут HttpOnly установлен на Cookies , и они (обычно) передаются с сервера на клиент, а не с клиента на сервер. HttpOnly не является атрибутом, который вы можете установить в форме или параметре формы. Здесь клиент - это браузер, а сервер - это сервер Java EE, на котором выполняется ваше приложение Java.
Файлы cookie обычно создаются сервером, передаются в браузер и затем передаются обратно. Теперь можно создавать файлы cookie и манипулировать ими, используя JavaScript, который может быть полезен, но также может быть дырой в безопасности Таким образом, Cookie HttpOnly доступен только серверу , или, другими словами, он недоступен из клиентского JavaScript, который защищает ваш сайт от некоторых форм XSS-атак. Таким образом, браузер сохранит и вернет файл cookie HttpOnly, но не изменит его и не позволит вам создать его на клиенте; Cookie HttpOnly должен быть создан на сервере.
Если вы используете JSP, скорее всего, ваш сервер автоматически создает Cookie для управления сессиями для вас; это файл cookie, для которого вам нужно установить атрибут HttpOnly. Метод установки HttpOnly на вашем SESSIONID Cooke будет зависеть от контейнера.