A API Platform implementa HSTS (strict-transport-security response header)?

Sim, em todos os níveis. As APIs internas da aplicação fazem uso por padrão do HSTS, pois nosso internal gateway o implementa. A navegação estática do front-end da Plataforma passou a implementar essa funcionalidade nativamente na release 4.8.0.0. Finalmente, quanto às chamadas às APIs expostas por nossos clientes em seus gateways, é possível selecionar o tipo de protocolo aceito por cada inbound address. Se um inbound address for configurado para aceitar somente HTTPS, o gateway retornará por padrão o header strict-transport-security.

O cabeçalho de resposta strict-transport-security é utilizado para informar o cliente (como um browser) que o endereço só deve ser acessado usando HTTPS, não HTTP.
Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]