¿Se establece una cookie de sesión sin HttpOnly al principio, pero se agrega antes de que el navegador del cliente termine de mostrarse, todavía se considera vulnerable? La prueba del escáner que necesito para satisfacer lo cree así, pero ¿es esto un falso positivo?