HttpOnly - недоступен из JS (защита от XSS). Secure - только по HTTPS. SameSite=Strict или Lax - защита от CSRF. Ограничение по домену и пути. Для сессий - минимальный срок жизни.