Comprendo che i cookie con il flag di sicurezza devono essere trasmessi tramite una connessione HTTPS. Significa anche che questi cookie devono essere protetti dagli avversari (cookie privati). Pertanto, è importante impostare il flag HttpOnly su questo tipo di cookie privato per prevenire XSS.
Un cookie privato con il flag di sicurezza ma nessun HttpOnly segnala un problema?
Essenzialmente, penso che il flag HttpOnly debba essere aggiunto a un cookie con il flag di sicurezza.