Нужные HTTP-заголовки

[Mabu]

Я считаю, что такие заголовки — это лишнее. Все браузёры должны по умолчанию вести себя так, а не перекладывать ответственность на заголовки.

[x-foby]

Будьте аккуратный в желаниях — некоторые из них могут сбыться))

[lostpassword]

И RFC 3514 давно пора использовать. Всё сразу гораздо безопаснее станет.

[mayorovp]

X-XSS-Protection тоже скорее разрешающий чем запрещающий заголовок…

[y4ppieflu]

Для некоторых браузеров полезно бывает. Скажем, Safari, вроде бы, не включает свой xss auditor, если есть CSP и HttpOnly кука.