Ответ 1
Если вы выходите из системы, вы имеете в виду удаление cookie сеанса, то нет, вы не можете удалить файлы HttpOnly из Javascript. Тем не менее, легко настроить два файла cookie, один HttpOnly и один небезопасный, так что только комбинация из двух является действительным ключом сеанса. Удаление cookie уничтожит сеанс.
Если ваша услуга чувствительна, имеет смысл обрабатывать все реалистичные сценарии угроз, и это довольно реалистично.
Настройка двух файлов cookie, один из которых HttpOnly, на самом деле является обычным явлением в стандартной методике предотвращения CSRF. Я не видел его в вашем конкретном сценарии, но он очень похож на случай с анти-CSRF и выглядит как очевидное и простое приложение общей идеи двух cookie.