Hello,

Mit HSTS (strictes https) kannst Du die meisten Browser im Hauptdokument auch anweisen, diese Erlaubnis in Subrequests (z. B. iFrames) überhaupt nicht zuzulassen.

Nein.

Doch!

Ein HSTS-Header sorgt in einer per TLS + HTTP (also https:) aufgerufenen Seite dafür, dass keine in der Seite befindlichen Links ohne TLS, also nuf http: , aufgerufen werden dürfen. Auch nicht die Initiale URL.

Dafür, dass die das in dem von Dir verlinkten Dokument etwas verschwurbelt darstellen, kann ich nichts ;-)

Glück Auf
Tom vom Berg