Primero no te olvides activar los headers para apache
//en terminal linux
sudo a2enmod headers
Agregar las siguientes lineas a la configuración del apache
//etc/apache2/apache2.conf
<IfModule mod_headers.c>
<Directory /directorio/de/mi/folder>
Header always set X-XSS-Protection "1; mode=block"
Header always set x-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set Content-Security-Policy "default-src 'self'; font-src *;img-src * data:; script-src *; style-src *;"
Header always set Referrer-Policy "strict-origin"
</Directory>
</IfModule>
##para ser mas flexible en las políticas de seguridad aplique
Header always set Content-Security-Policy "default-src 'self'; connect-src *; font-src * data:; frame-src *; img-src * data:; media-src *; object-src *; script-src * 'unsafe-inline' 'unsafe-eval'; style-src * 'unsafe-inline';"
Verificar en 1 de las siguientes páginas
https://securityheaders.com/
https://tools.geekflare.com/header-security-test
https://tools.geekflare.com/header-security-test