Есть ли флажок в столбце Http в панели ресурсов Chrome devtool Cookie для файла cookie HttpOnly?
Я не могу найти документы, подтверждающие это, хотя я подозреваю, что это так. Я пытаюсь проверить, что мое приложение использует HttpOnly для файлов cookie сеанса.
Да. Введите document.cookie в консоли, и вы увидите, что ни одно из отмеченных куки файлов не отображается.
HTTP = флаг HttpOnly, Secure = безопасный флаг.
Итак, 2 вещи.
1) HTTP only cookie это имя немного вводит в заблуждение, поскольку мы можем отправлять HTTPOnly cookie через HTTPS, и он отлично работает. Основные характеристики cookie HTTP Only недоступны при использовании JavaScript. Фактически Вы не можете вручную отредактировать это на вкладке Chrome Application.
2) Итак, как вы можете редактировать HTTP только cookie? В chrome Вы можете использовать расширение для редактирования cookie во время разработки. В режиме производства вы не можете взрослое это без атаки man in the middle на HTTP-соединение.
Да. Щелкните правой кнопкой мыши на своей странице или нажмите кнопку F12. Это откроет окно инструментов разработчиков. Перейдите на вкладку приложения. Он будет выглядеть следующим образом: -
Теперь, набрав на вкладке document.cookie, вы увидите только токен csrf. 
Чтобы указать cookie cookie для httpCookie по умолчанию, установите атрибут 'useHttpOnly' в context.xml в tomcat для веб-приложения Java. Для получения дополнительной информации см. http://tomcat.apache.org/tomcat-7.0-doc/config/context.html#Common_Attributes
Сегодня (май 2016 года), googling по той же причине, я нашел этот вопрос и эту страницу с developers.google.com, объясняя:
HTTP: если присутствует, указывает, что файлы cookie должны использоваться только через HTTP, а модификация JavaScript не разрешена.