Всем превед.Нашёл такую директиву в апачике:

; Whether or not to add the httpOnly flag to the cookie, which makes it inaccessible to browser scripting languages such as JavaScript.

session.cookie_httponly =

Если флаг стоит,то будет работать XSS через xml ?