Security headers не делают сайт неуязвимым, но закрывают много простых классов проблем. Они помогают браузеру безопаснее обрабатывать контент.
HSTS снижает риск downgrade на HTTP, CSP ограничивает источники скриптов и стилей, X-Frame-Options помогает против clickjacking, Referrer-Policy уменьшает лишнюю утечку URL.
ZeroTrace показывает отсутствующие и раскрывающие заголовки. Например Server с точной версией может быть полезен атакующему и часто не нужен пользователю.