Lors de la redirection vers un autre domaine, à quel domaine le système HSTS s'appliquera-t-il?

Question

En supposant ce qui suit, quel domaine sera HSTSed pour la prochaine année, foo.com ou bar.com? RTFM (RFC6797) n'aide pas beaucoup.

> GET / HTTP/1.1 > Host: foo.com [ ... ] < HTTP/1.1 301 Moved Permanently < Strict-Transport-Security: max-age=31536000; includeSubDomains; preload < Location: https://bar.com

Maximillian Laumeister · Accepted Answer

Le HSTS s'appliquera à foo.com. HSTS s'applique toujours au serveur qui traite la réponse elle-même.

Si vous y réfléchissez, si cela fonctionnait dans l'autre sens, les gens pourraient configurer la HSTS sur leurs sites respectifs, ce qui serait un gros désastre.