As solicitações HTTP podem ser manipuladas por terceiros (mitigar isso é um dos principais propósitos do HTTPS). O que acontece se um terceiro modificar uma resposta HTTP para adicionar um cabeçalho HSTS? Imagine que isso aconteça com um site que não suporta HTTPS. O cliente agora tenta acessar o site por HTTPS, o que não é suportado. Voilà: o terceiro bloqueou completamente o acesso ao site (e por algum tempo, se fosse um cabeçalho HSTS de longo prazo).
As solicitações HTTP podem ser manipuladas por terceiros (mitigar isso é um dos principais propósitos do HTTPS). O que acontece se um terceiro modificar uma resposta HTTP para adicionar um cabeçalho HSTS? Imagine que isso aconteça com um site que não suporta HTTPS. O cliente agora tenta acessar o site por HTTPS, o que não é suportado. Voilà: o terceiro bloqueou completamente o acesso ao site (e por algum tempo, se fosse um cabeçalho HSTS de longo prazo).