来自MDN：

该upgrade-insecure-requests指令不会确保通过第三方网站上的链接访问您网站的用户将升级到 HTTPS 以进行顶级导航，因此不会替换 Strict-Transport-Security (HSTS) 标头，该标头仍应设置为适当的 max-age 以确保用户不会受到 SSL 剥离攻击。

upgrade-insecure-requests当页面通过 https 加载时，将任何 http 请求升级为 https。这有助于避免混合内容问题，但不会强制页面通过安全模式加载。

更多详细信息，请访问https://scotthelme.co.uk/migrating-from-http-to-https-ease-the-pain-with-csp-and-hsts/

他们做不同的事情。Content-Security-Policy: upgrade-insecure-requests影响单个会话的页面资源，包括链接到其他域的内容。HSTS 会影响您自己的域，并且您的浏览器会记住它。