サイトはHTTPSでのみ使用できます
この場合のHSTSは、少なくともブラウザが、サイトが近い将来HTTPで利用できなくなることを通知します。ブラウザがこれを認識すると(つまり、最初のアクセス後)、ブラウザは安全でないHTTPでサイトに接続しないため、 sslstrip のようなダウングレード攻撃は失敗します。
Cookieのセキュアフラグは、サイトがHTTPS経由でのみ利用可能であることがすでに強制されているため、おそらくセキュリティ上の利点はありません。しかし、それも害はなく、安価な機能であるため、多層セキュリティの精神(つまり、1つのレイヤーが壊れた場合に別のレイヤーを追加する)で追加する方がよいでしょう。