Uno degli attacchi più diffusi per minare la sicurezza di un'applicazione web consiste nel cercare di recuperare i cookie attraverso Javascript, con del codice iniettato ad hoc (ad esempio all'interno di forum/guestbook), con la speranza che all'interno dello stesso ci siano dati sensibili.
Anche se sarebbe buona cosa proteggere in maniera adegutata la propria applicazione sin dalle fondamenta, è possibile annulare del tutto questo effetto forzando i cookie in modo tale che non possano essere visti da Javascript (o comunque da codice client-side).
Si tratta di un'header particolare supportata al momento solo da IE 6.0 SP1, che può essere impostata in automatico aggiungendo questa direttiva direttamente al web.config:

<configuration>
  <system.web>
    <httpCookies httpOnlyCookies="true"/>
  </system.web>
</configuration>