Estou trabalhando no aplicativo RESTful SPA usando angularJS. Atualmente, a chamada REST inicial está configurando um cookie "token" emxyz.com (cookie de resposta segura) após o login bem-sucedido do usuário. Não consigo ler este cookie em Javascript / angular, pois estou trabalhando no localhost.

O que eu entendi aqui, a menos que eu execute este aplicativo a partir do xyz.com, não poderei acessar este cookie OU preciso de uma conexão segura?

Meu entendimento está correto?

Em segundo lugar, meu entendimento sobre o cookie "httponly" é que ele não será acessível a partir de javascript, mesmo que você esteja no mesmo host.

Por favor, corrija minha compreensão.