Eine Abfrage dort: https://securityheaders.com

bringt meine beiden Hauptseiten wenigstens auf den Level B, ein A wäre mir schon lieber. Also was fehlt dort?

Schwer zu sagen, was da fehlt, so lange mir nicht klar ist, was Du mit „meine beiden Hauptseiten“ meinst.

ABER:

https://securityheaders.com/?q=https%3A%2F%2Fcode.fastix.org%2F&followRedirects=on

Ich hab das also geschafft, kann Dir jedoch folgendes mitteilen:

Die Einstufung „A“ schafft nicht mal die nsa (nsa.gov hat dort „D“. Auch Banken schaffen längst nicht durchweg „A“.

Mit „B“ bist Du ganz gut dabei, für weitere Aussagen müsste man Deine Sicherheitsbedürfnisse prüfen - und z.B. ob Du überhaupt von Benutzern erstellten Content hast. Da liegen meist die letzten Schwellen (inline-Script, inline-CSS). Und manche der Erfordernisse für die Einstufung mit „A“ entfalten bei so manchem Webauftritt keine Wirkung.

Was „schlecht“ ist, ist rot, ggf. orange markiert.