Sono curioso di sapere se l' intestazione di risposta HSTS debba essere dichiarata su ogni risorsa di un sito sicuro sul sito, oppure solo sulle pagine HTML? Immagino che dovrebbe essere incluso in tutte le risorse, inclusi tutti i file JS, CSS, PNG, ma apprezzerei molto le tue opinioni.
Poiché la politica dell'HSTS viene applicata all'intero sito, è sufficiente che tu la invii insieme a una risorsa che è sicuramente letta dal cliente. Può trattarsi di una pagina HTML, può essere un'immagine, ... finché il client richiederà sicuramente questa risorsa in modo che conosca la politica.
Non c'è niente da dire che questo header di risposta HTTP debba essere inviato solo per i tipi di contenuto HTML.
Finché l'intestazione ha buone probabilità di essere ricevuto dal browser su HTTPS all'inizio di ogni sessione, la politica verrà rispettata fino alla scadenza ( max-age ), se non viene rinnovata da un'altra risposta.