Учитывая дату вопроса вам уже скорее всего не актуально, но чтобы вопрос не висел без ответа.
Вариантов два:
Прописать в файле .htaccess
php_value session.cookie_httponly 1
Либо в начале каждого скрипта php включать поддержку cookie_httponly запуском ini_set():
ini_set('session.cookie_httponly', 1);
