Un article intéressant sur plusieurs mécanismes de sécurité, basé sur les précos et l'outil d'analyse de Mozilla.
Une grosse partie concerne HTTPS, mais il y a peut être des choses à reprendre (X-Content-Type-Options, X-Frame-Options, X-XSS-Protection)
Hop,
Merci pour le lien, certains des points proposés sont déjà dans la liste des tickets du tracker (privé) sécu sur core.spip.net.
Il n'y a plus qu'à... 
Non, on ne peut pas mettre ces éléments par défaut, car on ne sait pas comment sera utilisé SPIP. J’ai rencontré des problèmes avec lors de mes tests, sur les points suivants de mémoire :
les frames sont utilisés pour l’accessibilité, et les X-XSS faisait planter certains envois en javascript (la gestion des plugins ne fonctionnait plus)
ça remonte à un certain temps quand même, faudrait retester.
J’avais mis plein de retours d’un audit de sécurité de SPIP avec un contre-auditeur très calé en sécurité. Ces points me semblent un bon départ pour virer des failles potentielles de sécu, car tant qu’elles existent, SPIP n’est pas considéré comme fiable chez eux.
C’était le résultat d’un audit de SPIP 2.1 puis SPIP 3.1