Acabo de recibir una configuración, una API de Golang detrás de un servidor Caddy que tiene HTTPS de forma predeterminada a través de Let's Encrypt, el servidor envía todas las solicitudes a la API de la Web. Así que fui a probar la "seguridad" de mi servidor web en sitios como securityheaders.io. Me dieron una F, así que agregué los encabezados que exigían y obtuve una A
Access-Control-Allow-Methods "GET, POST, OPTIONS"
Strict-Transport-Security "max-age=31536000;"
Content-Security-Policy "script-src 'self'"
X-XSS-Protection "1; mode=block"
X-Content-Type-Options "nosniff"
X-Frame-Options "DENY"
-Server
Estos son los encabezados que tengo actualmente, pero me gustaría saber si son necesarios para la seguridad cuando lo que estoy haciendo no es un sitio web, sino un servidor web de API, algo así como
Access-Control-Allow-Methods "GET, POST, OPTIONS"
-Server
Básicamente, ¿todos esos encabezados de seguridad son necesarios si solo desea solicitar su API?