HttpCookie.HttpOnly属性允许通过https连接

两者都允许。HttpOnly决定是否可以通过客户端脚本访问cookie。这与SSL无关。来自MSDN:

将HttpOnly属性设置为true并不能阻止攻击者通过访问网络通道直接访问cookie。考虑使用安全套接字层(SSL)来帮助防止这个。

您可以在web中使用requireSSL="true"条目。配置以保护您的身份验证cookie。您也可以使用Secure属性来保护单个cookie