Ho appena ottenuto un setup, un golang web api dietro un server caddy che ha HTTPS di default tramite Let's Encrypt, il server trasmette tutte le richieste al web API. Così sono andato in giro per testare la mia "sicurezza" del web server su siti come securityheaders.io. Mi hanno dato una F, quindi ho aggiunto le intestazioni che richiedevano e ho ottenuto un A
Access-Control-Allow-Methods "GET, POST, OPTIONS"
Strict-Transport-Security "max-age=31536000;"
Content-Security-Policy "script-src 'self'"
X-XSS-Protection "1; mode=block"
X-Content-Type-Options "nosniff"
X-Frame-Options "DENY"
-Server
Queste sono le intestazioni che attualmente ho, ma mi piacerebbe sapere se sono necessarie per la sicurezza quando ciò che sto facendo non è un sito web, ma piuttosto un server web API, qualcosa come
Access-Control-Allow-Methods "GET, POST, OPTIONS"
-Server
Quindi, in pratica, tutte le intestazioni di sicurezza sono necessarie se vuoi solo richiedere la tua API?