Как установить заголовки HTTP с помощью сервера Apache CSP

Используя Apache mod_headers, веб-сервер может добавлять к ответу заголовки HTTP. Часто бывает выгоднее добавлять заголовки веб-уровня, а не уровня приложения, поскольку приложение отвечает только на некоторые HTTP-запросы. Веб-сервер может добавлять заголовки ко всем ответам HTTP независимо от того, было ли задействовано приложение. Apache позволяет добавлять заголовки условно или статически, что делает Apache идеальным для добавления таких заголовков, как HSTS, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Cache-Control и других заголовков.

Для этого надо:
nano conf/headers.conf
и добавляем следующие:
Header set x-xss-protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set Referrer-Policy "strict-origin"
Header add Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src * 'self' data: https:;"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure;SameSite=strict
Header set X-Permitted-Cross-Domain-Policies "none"

Для перезапуска используйте:

sudo apache2ctl restart