После прочтения этого сообщения SO, я тоже необходимо установить файлы cookie ASPSESSIONID [random-string-here] как HttpOnly для классических страниц ASP. Но в IIS 5.
Итак, какие у меня варианты? Я не создаю эти файлы cookie, похоже, они создаются автоматически. Можно ли изменить глобальную настройку web.config в IIS 5?