Atributo HttpOnly.

O atributo do cookies HttpOnly, lida com a permissividade. Então se ele estiver habilitado este não poderá ser manipulado por códigos client-side como JavaScript e VBscript? E isso evita dificultar ataques de Cross-Site Scripting?