Nawiązując jeszcze do poprzedniej notki o cookies, w buildzie przeglądarki Firefox 3.0a3 z dnia 17-go marca 2007 zaimplementowano funkcjonalność zapisu cookie z atrybutem HttpOnly, który spowoduje, że ciasteczka z tym atrybutem nie będą widoczne z poziomu języków skryptowych wykonywanych przez przeglądarkę, np. z poziomu JavaScriptu. Powodem dodania tego atrybutu jest myśl o zabezpieczeniu przez atakami XSS.

Funkcjonalność ta od dłuższego czasu jest już dostępna w Internet Explorerze. Od twórców pozostałych przeglądarek oczekuje się także imlementacji tego atrybutu cookies. Miejmy nadzieję, że wysłuchają apelu. Na razie sprawa wygląda tak, że próbując zapisać ciasteczko HttpOnly w przeglądarce nie obsługującej tego atrybutu, przeglądarka może odrzucić takie ciasteczko (np. ze względu na niepoprawną składnię) lub zapisać poprawnie bez (wsparcia dla) omawianego atrybutu.