Supponendo che la mia versione di apache sia superiore a 2.2.x (ho notato nella versione precedente che il cookie solo http può essere trovato comunque), il cookie solo http protegge la sessione utente?
C'è un modo in cui l'utente aggira il cookie solo http in caso di XSS per prendere il controllo delle informazioni del cliente?
does http only cookie secures the user session?
Sì, questa è l'idea alla base di httpOnly.
Ma come hai già detto, potrebbero esserci altre vulnerabilità che rivelano il cookie. Ciò può accadere tramite vulnerabilità nel server (CVE-2012-0053 a cui si allude), tramite errata configurazione del server (TRACE, sebbene i browser moderni non lo supportano) o tramite problemi nell'applicazione stessa (il cookie di sessione potrebbe essere esposto in funzionalità di debug o nel back-end di amministrazione, un esempio potrebbe essere una chiamata a phpinfo in PHP).
Va notato che httpOnly riduce solo leggermente l'XSS e che ci sono vari altri scenari di attacco con XSS che sono (quasi) tanto cattivi quanto rubare la sessione (come CSRF - ad esempio per aggiungere nuovi utenti admin -, phishing, keylogging, lettura di informazioni segrete, ecc.)