Quelle est votre politique de sécurité pour les entêtes de réponse http ?

Quand je teste certains sites joomla via https://securityheaders.io/

J'ai beaucoup de mauvaises surprises et celui qui sort du lot honorablement, c'est le site d'aesecure :
https://securityheaders.io/?q=https%...re.com%2Ffr%2F

Si on se concentre sur les problèmes, on a 5 points prioritaires à vérifier :
- Content-Security-Policy
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy

Pour ma part, j'ai trouvé quelques articles intéressants sur ce sujet :

- https://openweb.eu.org/articles/content-security-policy
- http://www.trucsweb.com/tutoriels/securite/csp/
- https://www.lexsi.com/securityhub/en...-ses-echanges/
- je n'ai pas trouvé d'extension mais un outil pour créer la CSP : https://report-uri.io/home/tools
- Eligibilité HSTS : https://hstspreload.org/

Si vous connaissez une info sur ce sujet autour (et exemples autour de joomla), n'hésitez pas à partager