Ich würde es eher als eine Konfigurationsentscheidung bezeichnen.
Befindet sich das Forum auf einer Apex-Domain oder nicht?
Ich sage den Leuten immer, dass wir sehr vorsichtig damit sind, Header zu setzen, die sich auf andere Hostnamen ihrer Domain auswirken, und wenn sie HSTS auf diesen haben möchten, sollten sie die Header stattdessen auf diesen jeweiligen Hosts setzen.
Der einzig gültige Grund, der mir einfällt, ist, dass sie das nicht können, z. B. wenn sich das Forum auf einer Apex-Domain befindet und der Client die HSTS-Header auf anderen extern gehosteten Hosts nicht steuern kann, z. B. wenn sie auch shopify.example.com gehostet haben. Dann kommen sie im Grunde zu Ihnen, weil Sie der Weg des geringsten Widerstands sind 