Я хотел бы применить HSTS только для 1 поддомена, но не для всего домена, возможно ли это?
xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
yyy.com -> HSTS off
Да.
Отправить Strict-Transport-Security
заголовок только для xxx.yyy.com
, и не уточнить includeSubDomains
.
Браузеры, которые правильно обрабатывают HSTS, будут устанавливать требование только для указанного поддомена (xxx.yyy.com
) в таком случае.