Нужные HTTP-заголовки

[@Mabu]

Я считаю, что такие заголовки — это лишнее. Все браузёры должны по умолчанию вести себя так, а не перекладывать ответственность на заголовки.

[@x-foby]

Будьте аккуратный в желаниях — некоторые из них могут сбыться))

[@lostpassword]

И RFC 3514 давно пора использовать. Всё сразу гораздо безопаснее станет.

[@mayorovp]

X-XSS-Protection тоже скорее разрешающий чем запрещающий заголовок…

[@y4ppieflu]

Для некоторых браузеров полезно бывает. Скажем, Safari, вроде бы, не включает свой xss auditor, если есть CSP и HttpOnly кука.