J’appellerais plutôt cela un choix de configuration.
Le forum est-il sur un domaine racine ou non ?
Je dis toujours aux gens que nous sommes très prudents quant à la définition d’en-têtes qui affectent d’autres noms d’hôtes sur leur domaine, et que s’ils veulent avoir HSTS sur ceux-ci, ils devraient plutôt définir les en-têtes sur ces hôtes respectifs.
La seule raison valable à laquelle je peux penser est qu’ils ne peuvent pas le faire, par exemple lorsque le forum est sur un domaine racine et que le client ne peut pas contrôler les en-têtes HSTS sur d’autres hôtes hébergés à l’extérieur, par exemple, ils ont également hébergé shopify.example.com. Ensuite, ils viennent essentiellement vous voir parce que vous êtes le chemin de moindre résistance 