<p></p>
<p>They're all wrong though, or deliberate decisions.</p>
<p>The first is wrong, or at least irrelevant, because we redirect to https and have HSTS enabled and preloaded. We just don't forbid http loading in the CSP because we don't have control over what resources we might need to load from third party sites - for example if somebody uses an http link for an image in a diary post.</p>
<p>The second (as they even admit) is again largely irrelevant because redirect to https and have HSTS enabled and preloaded. We probably should set it but virtually nobody will ever load a page over http with a session cookie because of HSTS.</p>
<p>The third is entirely deliberate so that third parties can use the API!</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/issues/3108#issuecomment-782053785">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLIGUVGHTLGK2X2KX4TS7ZMZRANCNFSM4X4G7YUQ">unsubscribe</a>.<img src="https://github.com/notifications/beacon/AAK2OLOTJ4YAPUHJS2BOR7LS7ZMZRA5CNFSM4X4G7YU2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW2ZLOORPWSZGOF2OTDGI.gif" height="1" width="1" alt="" /></p>
<script type="application/ld+json">[
{
"@context": "http://schema.org",
"@type": "EmailMessage",
"potentialAction": {
"@type": "ViewAction",
"target": "https://github.com/openstreetmap/openstreetmap-website/issues/3108#issuecomment-782053785",
"url": "https://github.com/openstreetmap/openstreetmap-website/issues/3108#issuecomment-782053785",
"name": "View Issue"
},
"description": "View this Issue on GitHub",
"publisher": {
"@type": "Organization",
"name": "GitHub",
"url": "https://github.com"
}
}
]</script>