Я придерживаюсь мнения, что HSTS хорош, и его следует использовать, но я ненавижу эти онлайн-уроки, в которых говорится, что просто включите его, не предупреждая о последствиях, если его неправильно понять. У меня есть сообщение в блоге , в котором обсуждаются такие «Опасные функции веб-безопасности», как HPKP и даже CSP.
Да, вы правы, что мы все больше движемся к миру HTTPS, и это должно быть низким риском, если вы уже переключились.
Однако возможно пропустить сценарий ios и вызвать проблемы.
Например, если у вас не включен SSL везде, только учитывая ваш основной сайт. Например, вы включаете его в своем TLD (example.com) или предварительно загружаете его, а также www version (www.example.com), но вы также повторно используете этот домен в другом месте без SSL (например, intr anet .example.com или dev.example.com или oldapp.example.com), тогда они перестанут работать.
Google привык вести список тех предзагрузочных HSTS, которые сожалели об этом , потому что они не думали все это или потому, что веб-разработчики думали, что они хорошо защищают веб-сайт, но сломали другие вещи.
Так что я не думаю, что преувеличено давать предупреждения.
Для нового сайта Я бы использовал HSTS от get fo, если только у меня нет для этого веской причины.