/etc/nginx/config/system/security.conf
-------------------------------------------------------------------------------------------------
server_tokens off;
add_header X-Frame-Options "deny";
add_header X-XSS-Protection "1; mode=block" always;
....


nginx.conf
-------------------------------------------------------------------------------------------------
server {
...
include /etc/nginx/config/system/security.conf; <- если разместить тут то заголовки не применяются

location /log {
...
include /etc/nginx/config/system/security.conf;
proxy_pass http://logger;
}

location / {
...
include /etc/nginx/config/system/security.conf;
proxy_pass http://web_app;
}
}

Имеем конфиг показанный выше

Если импортировать security.conf на уровне server - заголовки не применяются к запросам в locations

Заголовки применяются только если разместить импорт security.conf внутри каждой секции location

Почему? В описании add_header написано что директива наследуется, а по факту - нет!