是的，出于三个原因，您仍应将 cookie 标记为安全：

• 您不希望它们仅仅因为服务器配置事故而暴露。如果您将应用程序移至具有不同配置的服务器会怎样？

• HSTS 是对首次使用的信任。如果您的 HSTS 已过期但您的 cookie 尚未过期，则浏览器可能会以未加密的方式发送它们。是否有东西响应纯 HTTP 在这里无关紧要。

• 正如Tgr所写，并非所有浏览器都支持 HSTS。

我承认这里的好处并不大，但成本基本为零。所以设置安全标志！

并非所有浏览器都支持 HSTS。例如，IE mobile 没有；桌面 IE 仅从版本 11 开始；Opera Mini 等基于云的浏览器没有。将您的 cookie 标记为安全是微不足道的，也是很好的深度防御。