Strict-Transport-Security заставляет браузер ходить только по HTTPS; начинайте с малых max-age и preload только после полного аудита смешанного контента.
X-Content-Type-Options: nosniff снижает риск MIME-sniffing; Referrer-Policy и Permissions-Policy ограничивают утечки метаданных и доступ к API.
- [OWASP Secure Headers Project](https://owasp.org/www-project-secure-headers/) — Справочник заголовков и best practices.
- [HTTP Strict Transport Security — MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security) — Синтаксис HSTS.
---
## Проверка
Прогоните staging через securityheaders.com или observatory.mozilla.org и зафиксируйте целевые оценки в README инфраструктуры.
Заголовки на CDN должны совпадать с origin — избегайте дублирующих противоречивых значений.