HttpOnly oculta la cookie a JavaScript para mitigar XSS. Secure la restringe a HTTPS. SameSite controla el envío entre sitios y es la defensa central contra CSRF, y SameSite=None solo funciona junto con Secure. Domain y Path definen su alcance; Max-Age y Expires deciden cuánto vive.
Preguntas y respuestas frecuentes sobre este tema.
Strict nunca envía la cookie entre sitios; Lax solo en navegaciones de nivel superior como hacer clic en un enlace; None en todas las peticiones entre sitios pero exige Secure. Lax es el valor por defecto moderno.
HttpOnly impide que JavaScript lea la cookie (defensa contra el robo por XSS). Secure impide que se envíe por HTTP en claro (defensa contra la interceptación de red). Protegen de ataques distintos, así que las cookies sensibles suelen poner ambos.
Si no tiene ni Max-Age ni Expires, es una cookie de sesión y desaparece al cerrar el navegador. Max-Age (segundos desde ahora) gana a Expires (fecha absoluta); un Max-Age de 0 o menos la elimina de inmediato.
No. Todo se procesa por completo en tu navegador y nada de lo que pegas sale de tu dispositivo.