我知道，有一个cookie secure标志也不会通过未加密的连接来发送。 我不知道这是如何工作的深入。

谁是负责确定cookie是否将被发送或没有？

这仅用于加密的连接和该客户端组中定义RFC 6265 ：

安全属性限制cookie来“安全”信道（其中，“安全”是由用户代理定义）的范围。 当一个cookie具有安全属性，用户代理将包括仅当请求是通过安全通道发送（通常HTTP传输层安全性（TLS）[RFC2818]）在HTTP请求该cookie。

虽然保护饼干从活跃的网络攻击看似有用，安全属性只保护cookie的保密性。 一个活动的网络攻击者可以从一个不安全的信道覆盖安全cookie，破坏其完整性（参见第8.6节详细介绍）。

关于这个问题只是一个字：

忽略secure ，因为你的网站example.com是完全HTTPS是不够的。

如果您的用户明确达到http://example.com ，他们将被重定向到https://example.com但为时已晚了; 第一请求包含该cookie。