https://developer.mozilla.org/ja/docs/Web/HTTP/Cookies#restrict_access_to_cookies

HttpOnly Cookie属性としてこれを付与するとJavaScriptからアクセスできなくなる。
Secure これが付与されるとHTTPSの通信の場合のみ送信されるようになる。
Cookie属性 HttpOnlyとSecure - Qiita

CookieのSecure属性/HttpOnly属性の指摘と修正方法と脆弱性の解説 – Self branding

How to Implement HTTPOnly and Secure Cookie in Nginx?

WordPressが発行するCookieにHttpOnly属性が付いていないことを問題にされた場合の対処 | ワルブリックス株式会社