为什么安全的Asp.Net中的HttpOnly没有出现在响应标头中？

Question

注意：请在向下投票前或先指向其他参考文件时先阅读。

我正在尝试在Web.config中设置HttpOnly，但HttpOnly不会出现在响应头中。

<system.web>
    <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/>
    <authentication mode="None" />
</system.web>

但在检查Chrome时，HttpOnly丢失了？

Set-Cookie:user_key_sample=1480924786; domain=somedomainhere; path=/; secure

我原以为是：

Set-Cookie:user_key_sample=1480924786; domain=somedomainhere; path=/; secure; HttpOnly;

我做了一项研究并找到了这些链接：

• Enabling HttpOnly in Secure in Asp.Net但尚未解决。
• HttpOnly Cookies on ASP.NET 1.1 - （可以在Web.config中完成吗？）
• 还阅读了一些文章，如果你有安全的cookie，它会自动覆盖你的Web.config设置并删除HttpOnly。 （不记得链接）

问题： 有没有办法只使用Web.config实现目标？ 是否值得同时拥有HttpOnly和安全？实际上OWASP Scanning在我的回复中寻找HttpOnly标志。