Content-Security-Policy (CSP)

CSP — это заголовок ответа, который сообщает браузеру, из каких источников разрешено загружать скрипты, стили, изображения и др. Грамотная политика делает эксплуатацию XSS гораздо труднее: даже внедрённый скрипт не выполнится, если его источник не разрешён.

Как применять: начните с ограничительной политики, запретите inline-скрипты или используйте nonce, постепенно добавляйте нужные источники, тестируйте в режиме Report-Only.

# Строгая базовая политика CSP
response.headers["Content-Security-Policy"] = (
    "default-src 'self'; "
    "script-src 'self'; "
    "object-src 'none'; "
    "frame-ancestors 'none'"
)