fix: remove CSP headers causing ERR_BLOCKED_BY_ORB (v0.6.9)

- Remove Content-Security-Policy that blocked cross-origin image loading
- Remove X-Frame-Options: DENY (too strict for file CDN)
- Remove X-XSS-Protection (deprecated header)
- Keep minimal security headers: nosniff, Referrer-Policy, HSTS
- CORS now works without conflicts for browser image requests

CHANGELOG.md

@@ -1,3 +1,17 @@
+## [0.6.9] - 2025-10-04
+
+### 🔒 Fixed: ERR_BLOCKED_BY_ORB
+- **❌ Убран CSP**: Удален `Content-Security-Policy` заголовок, который блокировал кросс-ориджин загрузку изображений
+- **❌ Убран X-Frame-Options**: DENY был излишне строгим для файлового CDN
+- **❌ Убран X-XSS-Protection**: Устаревший заголовок, не нужный для статики
+- **✅ Минимальные security headers**: Оставлены только `X-Content-Type-Options: nosniff`, `Referrer-Policy`, `HSTS`
+- **✅ CORS работает**: Теперь изображения корректно загружаются из браузера без ORB блокировки
+
+### Technical Details
+- `src/main.rs`: Упрощены security headers для файлового CDN
+- CSP конфликтовал с CORS и вызывал ERR_BLOCKED_BY_ORB в Chrome/Edge
+- Файловый сервер не нуждается в защите от XSS/Clickjacking (нет HTML контента)
+
 ## [0.6.8] - 2025-10-03
 
 ### 🔒 Security: Early Scan Rejection