セッション ID みたいなのは原則 httpOnly secure にしておくべきだし何なら Cookie 全般 httpOnly 外す意味そんなにないように思える