Lo definirei piuttosto una scelta di configurazione.
Il forum si trova su un dominio apex o no?
Dico sempre alle persone che siamo molto cauti nell’impostare header che influenzano altri hostname sul loro dominio e che, se vogliono avere HSTS su quelli, dovrebbero impostare gli header sui rispettivi host invece.
L’unica ragione valida che mi viene in mente è che non possono farlo, ad esempio quando il forum si trova su un dominio apex e il client non è in grado di controllare gli header HSTS su altri host ospitati esternamente, ad esempio hanno anche ospitato shopify.example.com. Allora praticamente vengono da te perché sei la via di minor resistenza 