Am Edge gehärtet.
Jede Antwort liefert strenge Security-Header — von Cloudflare auf der Produktionsdomain durchgesetzt, nicht nur in einer Richtlinie versprochen.
Transportsicherheit
HSTS · 1y · includeSubDomains · preload
Content-Security-Policy
CSP · script-src 'self' (no inline) · object-src 'none' · frame-ancestors 'none'
Clickjacking
X-Frame-Options: DENY
MIME-Sniffing
X-Content-Type-Options: nosniff
Referrer
Referrer-Policy: strict-origin-when-cross-origin
Browser-Funktionen
Permissions-Policy · ~20 features denied
Live-Response-Header, auf der Produktionsdomain gemessen.