不在API上设置安全头可能被视为不良做法，因为安全头可以帮助保护API免受潜在的安全威胁和攻击。设置安全头可以确保只有经过授权的用户或系统可以访问API，并提供额外的保护措施。

以下是一个示例，展示如何在API中设置安全头：

import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.Produces;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.core.Response;

@Path("/api")
public class MyAPI {

    @GET
    @Produces(MediaType.APPLICATION_JSON)
    public Response getData() {
        // 在这里处理API请求

        // 设置安全头
        Response.ResponseBuilder responseBuilder = Response.ok();
        responseBuilder.header("Strict-Transport-Security", "max-age=31536000; includeSubDomains");
        responseBuilder.header("X-Content-Type-Options", "nosniff");
        responseBuilder.header("X-Frame-Options", "DENY");
        responseBuilder.header("X-XSS-Protection", "1; mode=block");
        
        return responseBuilder.build();
    }
}

在上面的示例中，我们使用了JAX-RS和Jersey框架来创建一个简单的API。在getData()方法中，在处理完API请求后，我们设置了一些常见的安全头，如"Strict-Transport-Security"、"X-Content-Type-Options"、"X-Frame-Options"和"X-XSS-Protection"。

这些安全头的具体作用如下：

• "Strict-Transport-Security"：告诉浏览器只能通过HTTPS访问API，并且在一定时间内不再询问。
• "X-Content-Type-Options"：防止浏览器对响应的MIME类型进行嗅探，确保按照服务器返回的Content-Type处理响应。
• "X-Frame-Options"：防止网页被嵌入到别的网页中，提高安全性。
• "X-XSS-Protection"：启用浏览器的内置跨站脚本攻击(XSS)过滤器。

通过设置这些安全头，可以增强API的安全性，并减少潜在的安全风险。因此，不在API上设置安全头可能被视为不良做法。