Başlıklar: Content-Security-Policy, Strict-Transport-Security, Referrer-Policy.

Gizli Anahtarlar: FIREBASE_SERVICE_ACCOUNT_KEY sadece server runtime.

CSP ipuçları: script-src 'self' 'strict-dynamic' + nonce.

İzleme: Güvenlik logları ve uyarılar.