Si mi sitio web tiene HSTS y HTTPS forzado (es decir, el usuario no podrá acceder a la versión HTTP simple del sitio web), ¿hay algún punto en la configuración de secure: true para las cookies?
Sí, aún debe marcar sus cookies como seguras, por tres razones:
No desea que se expongan solo por un contratiempo de configuración del servidor. ¿Qué sucede si mueve su aplicación a un servidor con una configuración diferente?
HSTS es confianza en el primer uso. Si su HSTS ha caducado pero sus cookies no, el navegador puede enviarlos sin cifrar. Si o no hay algo que responda a HTTP simple es irrelevante aquí.
Como Tgr escribe, no todos los navegadores son compatibles con HSTS.
Admito que los beneficios no son enormes aquí, pero el costo es básicamente cero. Así que establece la bandera segura!
No todos los navegadores cumplen con HSTS. IE mobile no, por ejemplo; El IE de escritorio solo lo hace desde la versión 11; Los navegadores basados en la nube como Opera Mini no lo hacen. Marcar sus cookies como seguras es una defensa trivial y buena en profundidad.
Lea otras preguntas en las etiquetas tls http cookies session-management