Se avessi un sito disponibile solo in HTTPS dovrei comunque abilitare HSTS e Secure Flag?
site is only available in HTTPS
HSTS in questo caso notifica almeno che il browser non sarà disponibile in HTTP per il prossimo futuro. Una volta che il browser lo sa (cioè dopo la prima visita) un attacco di downgrade come sslstrip fallirà, perché il browser non connettersi con HTTP non sicuro al sito.
Il flag di sicurezza per i cookie probabilmente non fornirà alcun vantaggio in termini di sicurezza poiché è già stato applicato che il sito è disponibile solo tramite HTTPS. Ma non fa niente di male ed è una caratteristica economica quindi nello spirito della sicurezza multilivello (ad esempio aggiungi un altro livello nel caso in cui uno si rompesse) è meglio aggiungerlo.