API 호출을 HTTP에서 HTTPS로 리디렉션하는 일반적인 관행은 재고되어야 합니다.
많은 프로그래매틱 API 클라이언트는 브라우저에서 본 HSTS 헤더와 같은 상태를 유지하지 않습니다.
API는 대부분 다른 소프트웨어에서 사용되기 때문에 사용성-보안 트레이드오프 논리는 적용되지 않습니다. HTTP 인터페이스는 완전히 비활성화하거나 암호화되지 않은 요청에 대해 명확한 오류 응답을 반환해야 합니다. 암호화되지 않은 연결을 통해 전송된 API 자격 증명은 손상된 것으로 간주하고 취소해야 합니다.