tutte queste intestazioni hanno i loro professionisti. Alcuni di loro hanno i loro svantaggi. TL; DR: usa HSTS e X-Content-Type-Options.
Versione lunga: normalmente, in particolare, i due standard nell'elenco sono importanti. Quelli sono "HSTS" e "CSP". Tutto ciò che inizia con una X non è davvero uno standard. È utile però. Per controllare il tempo è possibile utilizzarlo in un determinato ambiente o non provare per il sito web Posso usare .
In ogni caso. L'intestazione HSTS impone l'uso di HTTPS come "Trust on first use" -Principle. Quindi, dopo una visita iniziale sul tuo sito, alcune informazioni vengono salvate dal browser. Successivamente, il client (browser) imporrà l'HTTPS anche se l'utente digita "http". L'attacco dell'uomo nel mezzo sarà molto più difficile di allora.
Il "Content Security-Policy" (se utilizzato correttamente) imporrà che gli script vengano eseguiti solo da * .js-files. Inoltre è possibile (e dovrebbe) dire al browser di caricare solo dalla tua pagina. Questo in realtà non ti aiuta dal mio pov perché non offri HTML.
Stessa storia per X-XSS-Protection.
Questi non danneggeranno ma non saranno di grande aiuto.
Quindi, come per X-Content-Type-Options, l'MDN dice:
The X-Content-Type-Options response HTTP header is a marker used by the server to indicate that the MIME types advertised in the Content-Type headers should not be changed and be followed. This allows to opt-out of MIME type sniffing, or, in other words, it is a way to say that the webmasters knew what they were doing.
Questo potrebbe non essere richiesto per te e non vedo realmente il caso d'uso, ma dal momento che il tuo Content Type è sempre un materiale SOAPy che non soffri davvero per usarlo.
Dalla mia esperienza, HSTS è uno standard che tutti dovrebbero usare. HTTP senza TLS è davvero obsoleto e HTTPS senza HSTS è molto meno sicuro di quanto potrebbe essere. Quindi per tutti i miei progetti penso che l'HSTS sia obbligatorio. Solo un avvertimento finale: fai attenzione quando pensi al precarico. Che in realtà limiti le tue opzioni a cambiare qualcosa in seguito.