Un peu redondant, non ?

Si un site fait bien son job en définissant les cookie en secure, ils ne partiront jamais en http

Le HSTS c'est un peu fait pour ça non ? Eviter que des infos partent en http au lieu de https ? Après il n'y a pas que les cookie, mais bon, c'est là que se trouve le + important en général (session id)

Surtout que le site en face renverra une redirect sur https

En fait, quand un cookie est set avec httpOnly, le javascript ne peut plus y accéder par document.cookie

En revanche, quand une requete est faite avec XMLHttpRequest, les cookie sont toujours bien envoyés même si ils sont en httponly