7.2. Тип запроса HTTP
Если HSTS-компьютер получает HTTP-запрос через небезопасный канал, он должен послать HTTP-отклик, содержащий статусный код, индицирующий постоянную переадресацию, такой как статусный код 301 (раздел 10.3.2 [RFC-2616]), и значение поля заголовка Location (положение), содержащий либо HTTP эффективный URI запроса (смотри раздел 9 ("Constructing an Effective Request URI")), измененный в соответствии со схемой URI "http", либо URI, сгенерированный согласно локальной политике по схеме "http".
Замечание: Выше описанное поведение нужно рассматривать скорее, как желательное, а не обязательное:
Риски переадресаций небезопасной-безопасный для стороны сервера [OWASP-TLSGuide].
Характеристики размещения сайта. Например, сайт, который содержит компоненты третьей стороны, может не работать корректно, когда осуществляется переадресация небезопасный-безопасный для стороны сервера, в случае доступа через небезопасный канал, но работает корректно, когда доступ осуществляется через безопасный канал. В последнем случае реализуется вариант агента пользователя HSTS, который уже определил сайт, как известный HSTS-компьютер.
HSTS-компьютер не должен включать поле заголовка STS в HTTP-отклики, передаваемые через небезопасный канал.