Не всё так просто с этими заголовками, особенно с CSP. Быстро сильно заблокировать всё — и сайт уже не работает, а пытаешься исправить — снова что-то ломается. Про HSTS тоже стоит помнить, что без полноценного HTTPS он мало что даст. В общем, полезно, но без тщательного тестирования и понимания, что отключаешь, легко создать себе проблемы. Просто пара строчек поставить — это очень наивно, тут нужен более аккуратный подход.