Tengo curiosidad por saber si el encabezado de respuesta de HSTS se debe declarar en cada activo de un sitio seguro de todo el sitio, o sólo en las páginas HTML? Me imagino que debería incluirse en todos los activos, incluidos todos los archivos JS, CSS, PNG, pero apreciaría sus pensamientos.
Dado que la política de HSTS se aplica a todo el sitio, es suficiente que la envíe junto con un recurso que el cliente definitivamente lea. Esta puede ser una página HTML, puede ser una imagen, ... siempre y cuando el cliente definitivamente solicite este recurso para que conozca la política.
No hay nada que decir que este encabezado de respuesta HTTP debe enviarse solo para tipos de contenido HTML.
Siempre que el encabezado tenga una buena posibilidad de ser recibido por el navegador a través de HTTPS al inicio de cada sesión, entonces la política se cumplirá hasta el vencimiento ( max-age ), si no se renueva con otra respuesta.