Pouah il était temps que je mette à jour quelques entêtes sécurité de mon site. Bon je n'irai pas jusqu'à CSP, parce que mon site vieux (il a 22 ans !) a malheureusement encore du javascript inline que je n'ai pas le courage de nettoyer, mais pour le reste il devrait maintenant être à peu près à jour concernant les entêtes sécurité comprises par les navigateurs modernes.
Voir aussi :
https://securityheaders.com/