HttpOnly は cookie を JavaScript から隠して XSS を弱め、Secure は HTTPS に限定します。SameSite はクロスサイト送信を制御する CSRF 対策の要で、SameSite=None は Secure とセットでのみ機能します。Domain と Path は適用範囲を、Max-Age と Expires は寿命を決めます。
このテーマに関するよくある疑問と回答をまとめました。
Strict はクロスサイトでは一切送らず、Lax はリンククリックなどトップレベル遷移でのみ送り、None はすべてのクロスサイトで送りますが Secure が必須です。Lax が最近のブラウザの既定です。
HttpOnly は JavaScript による読み取りを防ぎ(XSS 窃取対策)、Secure は平文 HTTP での送信を防ぎます(通信傍受対策)。守る攻撃が異なるため、機密 cookie は通常両方を設定します。
Max-Age も Expires もなければセッション cookie で、ブラウザを閉じると消えます。Max-Age(現在からの秒数)は Expires(絶対日時)より優先され、Max-Age が 0 以下なら即削除されます。
いいえ。すべてブラウザ内で解析され、貼り付けた内容が端末外に出ることはありません。