Anderes Thema - sollte eurer Meinung nach ein Webserver bei einer Antwort mit Statuscode 304 einen HSTS Header so wie die ganzen anderen Security Header mitsenden? Ich tendiere ja eher zu nein, weil nicht so wirklich sinnvoll, aber was sagt ihr dazu?
Siehe "Apache ignoring [headers] when sending a 304", wo sich (weiter oben) auch ein Verweis auf RFC 2616, Sektion 10.3.5 ("304 Not Modified") findet; ultimativ wird dies im Apache-Quellcode geregelt. Wie sich andere Webserver verhalten, hängt von deren RFC-Interpretation ab…