httponlyがデフォルトで良いと思います。
httponly非対応のブラウザを使っている人はもういないでしょう。
http://www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HttpOnly
Session Cookieのhttponly属性について
2015年10月1日 at 1:25
GitHub上でconcrete5のSession Cookieのhttponly属性をデフォルトとするか?
というスレッドが立ちました。
クライアント側の実装ででCookieの読み取りを必要とするシチュエーションが想像できないから、httponly属性をデフォルトにしようぜ?
という事で、スレッドがスタートしています。
https://github.com/concrete5/concrete5/issues/3004
自分も含め、英語で発信できないけど、意見したいな?
と、いう方はこちらの日本語フォーラムでコメント頂ければ幸いです。
なお、上記、スレッドのスタート部分では、具体的な設定箇所についてのリンクも示唆されていますので、是非、GitHubのスレッドも参照頂けると幸いです。
多摩勉強会/遠藤
Re: Session Cookieのhttponly属性について
Session Cookieのhttponly属性はデフォルトで良いと思います。
クライアント側の実装でSession Cookieを読み取る必要があるケースは自分も想像が付かないですし、仮にそういったケースが有るならば、そういった実装を必要とするサイトが個別にデフォルトを変更すれば良いと思います。
そうで無い、その他多数のサイトでは、デフォルトでhttponly属性が設定されていた方が安心ではないでしょうか?