Un peu redondant, non ?

Si un site fait bien son job en définissant les cookie en secure, ils ne partiront jamais en http

Le HSTS c'est un peu fait pour ça non ? Eviter que des infos partent en http au lieu de https ? Après il n'y a pas que les cookie, mais bon, c'est là que se trouve le + important en général (session id)

Surtout que le site en face renverra une redirect sur https