Tengo una aplicación que está protegida por Cloudflare. La aplicación responde con un HSTS en todas las demás páginas, excepto el estado HTTP 403 Prohibido y 302 Movido temporalmente. Parece que Cloudflare es el responsable de ello. También hay algunos recursos (JS) que no tienen el HSTS aplicado, pero que está fuera de tema para esta pregunta.
Mi intuición dice que todas las páginas (y recursos) deben tener HSTS porque, aunque es poco probable, alguien escribió mal la url e indujo un prohibido, sería vulnerable a ataques como sslstrip.