为什么一个HSTS头不能通过HTTP发送?
会有什么伤害的; 客户端可以将其作为redirect到https的提示。
HTTP请求可以被第三方操纵(缓解这是HTTPS的主要目的之一)。 如果第三方修改HTTP响应以添加HSTS头,会发生什么情况? 想象一下,这发生在一个不支持HTTPS的网站上。 客户端现在尝试通过不支持的HTTPS访问站点。 Voilà:第三方已经完全阻止了网站的访问(相当长一段时间,如果是一个长期的HSTS头)。