Как файлы cookie HttpOnly работают с запросами AJAX?

Да, это приемлемый вариант cookies для сайта на основе Ajax. Куки-файлы cookies аутентификации не предназначены cookie для манипуляции сценариями, они cookies просто включаются браузером cookies во все HTTP-запросы, отправляемые cookies на сервер.

Сценариям не нужно cookies беспокоиться о том, что сообщает ajax-request файл cookie сеанса - до тех cookies пор, пока вы аутентифицированы, любые .ajax запросы к серверу, инициированные httponly пользователем или сценарием, будут ajax включать соответствующие ajax-request файлы cookie. Тот факт, что cookie сценарии не могут сами узнать cookie содержимое файлов cookie, не cookie имеет значения.

Для любых .ajax файлов cookie, которые используются cookie для целей, отличных от аутентификации, их httponly можно установить без флага .ajax только HTTP, если вы хотите, чтобы ajax сценарий мог их изменять ajax-request или читать. Вы можете выбрать, какие cookies файлы cookie должны быть httponly только HTTP, поэтому, например, все, что cookie нечувствительно, как настройки httponly пользовательского интерфейса cookie (порядок сортировки, сворачивание cookie левой панели или нет), может httponly использоваться в файлах cookie cookie со сценариями.

Мне очень нравятся ajax-request файлы cookie только для HTTP .ajax - это одно из тех проприетарных ajax-request расширений браузера, которое cookie было отличной идеей.