Раньше таких заголовков особо не заморачивались, а сейчас без них, похоже, никуда. Особенно понравился HSTS — сразу понятно, что сайт с HTTPS будет реально защищён, браузеру нечего подменять. CSP кажется сложным, но если начать с простого и добавить по чуть-чуть, можно уложиться. Главное — не переломать сайт строгими настройками с первого раза. И да, X-Frame-Options просто обязателен, чтоб не втюхали в iframe где попало.