He visto que los sitios web transforman automáticamente las solicitudes HTTP en HTTPS sin el encabezado HTTP Strict Transport Security (HSTS).
¿La siguiente línea en la solicitud alivia completamente la necesidad de HSTS?
Content-Security-Policy: upgrade-insecure-requests;