Why HttpOnly Won't Protect You
HttpOnlyをつけてあげればXSSがあってもCookieが抜かれませんという話は偽りの安心を生んでいる話。
攻撃者の目的はCookie自体ではなくて、なにを攻撃したいかという点を履き違えてはいけない。たとえCookieが抜かれないとしても、貴方のオリジンからXHRを叩けるのであれば意図しない決済やなりすまし行為を実行できてしまう。
https://www.gnucitizen.org/blog/why-httponly-wont-protect-you/