Entiendo que las cookies con el indicador de seguridad deben transmitirse a través de una conexión HTTPS. También significa que estas cookies deben protegerse de los adversarios (cookie privada). Por lo tanto, es importante establecer la marca HttpOnly en este tipo de cookie privada para evitar XSS.
¿Es una cookie privada con el indicador de seguridad pero no un indicador HttpOnly un problema?
Esencialmente, creo que la bandera de HttpOnly se debe agregar a una cookie con la bandera de seguridad.