Cookie di sessione ".AspNetCore.Cookies" non in HttpOnly

[marco-maroni-spot-software]

Salve, c'è un motivo per cui il cookie di sessione viene impostato senza l'attributo "HttpOnly"? Essendo un cookie di sessione per ragioni di sicurezza dovrebbe essere impostato oltre che con "secure" anche con l'attributo "HttpOnly", teoricamente.

Anche se questa modifica andrebbe in conflitto con il workaround che ho implementato per questa issue, ossia pulendo quel cookie via javascript, cosa che non sarebbe possibile se fosse impostato on "HttpOnly".

Vorrei solo capire quale è l'approccio più sicuro.

Grazie