Die Konfigurationseinstellungen gelten füf den Apache 2.2.x und Apache 2.4.x Webserver

Laut der Webseite https://blog.appcanary.com/2017/http-security-headers.html sind noch folgende Headereinstellungen sinnvoll:

 Header always append X-Frame-Options SAMEORIGIN
 Header always set X-Xss-Protection "1; mode=block"
 Header always set Public-Key-Pins "pin-sha256='<primary>';\
 pin-sha256='<backup>';\
 includeSubdomains; max-age=5184000"
 Header always set Content-Security-Policy "default-src https: data: 'unsafe-inline' 'unsafe-eval'"
 Header always set Strict-Transport-Security "max-age=5184000; includeSubDomains"

Der Test kann über die Webseite https://securityheaders.io/ erfolgen.