با توجه به مستندات، این کار با بازنویسی لینک های HTTPS به لینک های HTTP با زیر دامنه های مختلف کار می کند. از آنجا که هیچ یک از این سایت ها از دستور includeSubDomains استفاده نمی کنند، مرورگر از HSTS برای این لینک های بازنویسی استفاده نمی کند. با استفاده از includeSubDomains دستورالعمل مانع از این حمله با داشتن مرورگرها استفاده از HTTPS برای همه زیر دامنه های سایت را مجاز می کند، نه فقط برخی از زیر دامنه ها.
به نظر می رسد عجیب و غریب است که این کار برای سایت های پیشفرض کار می کند، لیست پیش بارگیری مستلزم آن است که includeSubDomains مشخص شود، ممکن است مجبور باشم برخی از تستها را با این انجام دهم.
من شک دارم که تمام این سایتها به دلایلی تصمیم به ارسال includeSubDomains دستورالعمل به گوگل را می دهد تا آنها بتوانند در لیست قرار گیرند، اما نه به هیچکس دیگری. من فکر می کنم هنگام بازدید از یک سایت، مرورگر تنظیمات مربوط به هدر HSTS دریافت شده را بر تنظیمات پیش فرض بارگذاری می کند، پس از اولین بازدید، includeSubDomains از بین می رود. من با نتایج قابل اعتماد بیشتری به فردا بروز خواهم کرد.
