Estoy buscando el comportamiento de HSTS en los sitios web HTTP y HTTPS, y sus recursos integrados HTTP y HTTPS. Entiendo que si el servidor ha pasado un encabezado de respuesta HSTS en una respuesta HTTPS, o si el nombre del sitio está presente en la lista de precarga HSTS, entonces todos los recursos de esa solicitud se enviarán a través de HTTPS.
Sin embargo, al inspeccionar algunos sitios a través del Inspector web de Firefox, estoy notando algunas discrepancias. Por ejemplo, aquí en cnn.com
(un sitio web HTTP), algunas de las solicitudes de los subdominios de doubleclick.net
están pasando por HTTP, a pesar de que está presente en la lista de precarga de HSTS sobre here (con include_subdomains: true).
SoloparacomprobarsieldominioraízestabaenviandoelencabezadoHSTS,naveguéalenlacead.doubleclick.net
enlabarradedireccionesdelaubicaciónquemedirigióalsitioprincipaldeDoubleClickhttps://www.doubleclickbygoogle.com
.AquíseenvíaelencabezadoHSTS:
Sinembargo,nohayningúnefectoenlassolicitudesdedoubleclick
encnn.com
cuandorecargo:
OtracosainteresanteesquecuandointentoubicarlaetiquetadeorigendelasolicitudenelDOMyendoalapestañaInspector,nohaytaletiquetaconhttp://ad.doubleclick.net
(encadenadaconalgunascadenasdeconsulta).Losencabezados"Causa" y "Tipo" en el inspector parecen indicar que es un tipo de píxel de rastreador.
¿Alguien tiene alguna idea de lo que podría estar pasando aquí?