Ну, я переместил её туда, но первоначальная проблема заключается в том, что кто-то утверждал, будто отсутствие параметра includeSubDomains является уязвимостью безопасности.
Мне бы очень хотелось, чтобы кто-то, кто разбирается в вопросе и понимает важность наличия IncludeSubDomains в заголовке STS, прояснил ситуацию. Тогда я смогу сказать этому человеку, что сотни тысяч других сайтов не согласны с ним, и, возможно, скрипт, который кто-то запустил для поиска этих «уязвимостей», работает некорректно.
Так что, возможно, мне стоит переименовать эту тему в «Отсутствие includeSubDomains в заголовке STS считается вредным».