Si tuviera un sitio solo disponible en HTTPS, ¿debería seguir habilitando HSTS y Secure Flag?
el sitio solo está disponible en HTTPS
En este caso, HSTS al menos notifica a ese navegador que el sitio no estará disponible en HTTP en el futuro previsible. Una vez que el navegador sepa esto (es decir, después de la primera visita), un ataque de baja calificación como sslstrip fallará, ya que el navegador no conéctese con HTTP inseguro al sitio.
La marca de seguridad para cookies probablemente no proporcionará ningún beneficio de seguridad porque ya se hizo cumplir que el sitio está disponible solo a través de HTTPS. Pero tampoco perjudica y es una característica barata, por lo que, en el espíritu de la seguridad multicapa (es decir, agregar otra capa en caso de que se rompa una), es mejor que la agregue.