Se il mio sito web ha HSTS e HTTPS forzato (ovvero, l'utente non sarà in grado di accedere alla versione HTTP semplice del sito Web), c'è qualche punto nell'impostazione di secure: true per i cookie?
Sì, dovresti comunque contrassegnare i tuoi cookie come sicuri, per tre motivi:
Non vuoi che vengano esposti solo a causa di un errore di configurazione del server. Cosa succede se sposti la tua applicazione su un server con una configurazione diversa?
HSTS è affidabile al primo utilizzo. Se il tuo HSTS è scaduto ma i tuoi cookie non lo sono, il browser potrebbe inviarli in modo non criptato. Indipendentemente dal fatto che ci sia qualcosa che risponde a un semplice HTTP, qui è irrilevante.
Poiché Tgr scrive, non tutti i browser supportano HSTS.
Ammetto che qui i benefici non sono enormi, ma il costo è praticamente pari a zero. Quindi imposta il flag di sicurezza!
Non tutti i browser rispettano HSTS. Ad esempio, IE mobile non lo fa; desktop IE funziona solo dalla versione 11; browser basati su cloud come Opera Mini no. Contrassegnare i tuoi cookie come sicuri è banale e buona difesa in profondità.
Leggi altre domande sui tag http cookies tls session-management