Voici ce que cela donne pour LinuxFr.org :

– CSP : pas encore, faut que j’étudie ça.
– HSTS : on a essayé mais ce n’est pas jouable avec un certificat signé par CAcert tant que CAcert ne sera pas reconnu officiellement par les principaux navigateurs.
– X-Frame-Options : on l’a eu pendant un temps mais on l’a retiré car ça pose problème dans certains agrégateurs de news (netvibes notamment).
– X-XSS-protection : j’ai regardé ce que ça faisait, ça ne me semblait pas très intéressant pour LinuxFr.org (on a d’autres moyens de se protéger) et je craignais les effets de bord.
– X-Content-Type-Options : celui-là, on l’a !

Et tant que l’on parle des headers HTTP pour la sécurité, une bonne idée est de mettre ses cookies en HttpOnly (ça permet de limiter la casse lors d’une attaque XSS notamment) et en secure s’ils sont servis en HTTPS.