trueになりましたね。日本からも、特に異論はないということで良いと思います
http://github.com/concrete5/concrete5/issues/3004
Re: Session Cookieのhttponly属性について
2015年10月2日 at 11:45
コメントが付かないですが、私の意見を
Session Cookieのhttponly属性はデフォルトで良いと思います。
クライアント側の実装でSession Cookieを読み取る必要があるケースは自分も想像が付かないですし、仮にそういったケースが有るならば、そういった実装を必要とするサイトが個別にデフォルトを変更すれば良いと思います。
そうで無い、その他多数のサイトでは、デフォルトでhttponly属性が設定されていた方が安心ではないでしょうか?
Fumito Mizuno
Re: Session Cookieのhttponly属性について
httponly非対応のブラウザを使っている人はもういないでしょう。
http://www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HttpOnly