Да. Два флага не имеют никакого отношения друг к другу (хотя оба являются параметрами безопасности / конфиденциальности)
«Безопасный» означает, что cookie будет отправляться только через зашифрованные соединения
«HttpOnly» означает, что cookie не будет виден Javascript
Например, у вас все еще может быть XSS на странице HTTPS (и тогда злой скрипт может съесть ваше печенье).