Подробно расскажи про cookie security attributes: HttpOnly, Secure, SameSite (Lax/Strict/None), `__Host-` / `__Secure-` prefixes. Покажи production-grade cookie конфиг для auth.