Также нужно протестировать
https://paste.gg
, т. к. он устанавливает оба хедера X-Frame-Options и Content-Security-Policy (через настоящие http-хедеры)
top-navigate
top-close
set-domain