HTTP security headers: HSTS, X-Content-Type-Options и базовый hardening
Краткий набор заголовков для типового Node/NGINX фронта и как проверить сайт через Mozilla Observatory.
`Strict-Transport-Security` заставляет браузер ходить только по HTTPS; начинайте с малых max-age и preload только после полного аудита смешанного контента.
`X-Content-Type-Options: nosniff` снижает риск MIME-sniffing; `Referrer-Policy` и `Permissions-Policy` ограничивают утечки метаданных и доступ к API.
- OWASP Secure Headers Project — Справочник заголовков и best practices.
- HTTP Strict Transport Security — MDN — Синтаксис HSTS.
Проверка
Прогоните staging через securityheaders.com или observatory.mozilla.org и зафиксируйте целевые оценки в README инфраструктуры.
Заголовки на CDN должны совпадать с origin — избегайте дублирующих противоречивых значений.