今更だけども、PHP5.2.0からsetcookieにhttponlyの指定が可能になったらしい。

setcookie

httponly
TRUE を設定すると、HTTP を通してのみクッキーにアクセスできるようになります。 つまり、JavaScript のようなスクリプト言語からはアクセスできなくなるということです。 この設定を使用すると、XSS 攻撃によって ID を盗まれる危険性を減らせます (が、すべてのブラウザがこの設定をサポートしているというわけではありません)。 PHP 5.2.0 で追加されました。

ちなみに httponlyは元々IEの独自機能だったわけだけど、そこらへんはこちらを参考に。
httponlyは普及するのか