link A volte le preferenze dell'utente (dimensione carattere, tema, lingua, ...) sono impostate e applicate sul lato client. Questo è il caso più comune per aver bisogno di loro non impostare solo http.
secure: poiché il sito / l'applicazione insiste su HTTPS, non c'è alcun motivo non per utilizzare il flag di sicurezza. Se il sito / l'app deve offrire l'accesso tramite HTTP e hai bisogno di dettagli per passare tra contesti crittografati / non (forse le preferenze di visualizzazione dell'utente di nuovo), allora devi lasciarlo spento.
Anche se sembra non avere importanza poiché attualmente imponi l'accesso HTTPS, dovresti consentire errori in quanto: la tua app potrebbe essere ridistribuita con impostazioni errate, oppure i tuoi utenti potrebbero trovarsi soggetti a un MItM (qualcosa di malevolo o un proxy mal configurato) che ha un effetto simile e con questo flag le cose non sono sicure (da un punto di vista della sicurezza) interrompendo il lavoro piuttosto che lavorando in modo non sicuro.
Generale: Poiché sono misure di sicurezza, per quanto minori possano sembrare, impostale sempre entrambi, a meno che tu non abbia una ragione specifica per non farlo, piuttosto che lasciare che vengano disattivate a meno che tu non sia necessario.