Your API Shouldn't Redirect HTTP to HTTPS

安直にhttp → httpsしてるがいいんだっけという話
HSTS preloadなりがあるが
クライアントによってはHSTSをサポートしてないケースもある
リダイレクトしちゃうとクライアント側が気づくタイミングがない
- 結果として平文のリクエストを気づかずに大量に送る、ということがおきえる
また、HTTPで平文でAPI keyなりを送った場合は即revokeすべきだよね、という追記がある