httpOnly

httpOnly가 되면 js에서 해당 쿠키를 접근할 수 없다.
예를 들면 document.cookie에서 해당 쿠키는 접근할 수 없다.
httpOnly 쿠키는 프론트에서는 생성 불가하다.
브라우저에서 제어할게 아니라면 httpOnly도 좋다.

secure cookie

http에서는 해당 쿠키가 조회되지 않는다. https로만 조회할 수 있다.
아래처럼 생성 가능하다.

document.cookie = "name=aa; path:/; secure"