Будет ли HSTS вызывать перенаправление всего сайта (браузера) на его HTTPS-копию, если один (или несколько) ресурсов из домена HSTS был вставлен в HTTP-сайт - например, через тег img?
У нас есть http://subdomain.example.com
загрузка изображения из http(s)://www.example.com
а затем неправильно http://subdomain.example.com
перенаправляет на http(s)://subdomain.example.com
(что приводит к поломке страницы - она вообще не загружается) при загрузке изображения. Если мы удалим изображение из HTML, сайт будет работать правильно.
Это ожидаемое поведение и суть HSTS?
Примечание: мы видим www.example.com
и example.com
в кеше / хранилище HSTS браузера, когда сайт загружает изображение. Очистка этого заставляет сайт работать нормально, но последующие перезагрузки страницы затем прерываются (при условии, что браузер идентифицировал HSTS один раз, а последующие вызовы будут перенаправлены в соответствии с политикой / характером HSTS).