Что такое security headers и как их тестировать?

Security headers — HTTP заголовки защищающие от атак. Проверяем: Strict-Transport-Security (HSTS) — всегда HTTPS. Content-Security-Policy (CSP) — разрешённые источники скриптов. X-Frame-Options (SAMEORIGIN) — защита от clickjacking. X-Content-Type-Options: nosniff — MIME sniffing. Referrer-Policy — контроль referer. Permissions-Policy — ограничения API. Инструменты: securityheaders.com, Mozilla Observatory, Lighthouse. ZAP проверяет автоматически. Отсутствие любого из этих заголовков — потенциальная уязвимость.