Diciamo che le intestazioni di sicurezza HTTP di seguito sono applicate a tutte le pagine HTML di un sito:
- HTTP Strict Transport Security (HSTS)
- X-Frame-Options (XFO)
- X-XSS-Protection
- X-Content-Type-Options
Va bene per non inserire le intestazioni di sicurezza HTTP su risorse non HTML (immagini, file JavaScript, ecc.) ma tali intestazioni vengono applicate a tutte le risorse HTML.
Qualche rischio per la sicurezza per questo?