Заголовки безопасности

Заголовки безопасности — это набор HTTP-заголовков ответа, которые включают защитные механизмы браузера. Помимо CSP и HSTS полезны:

• X-Content-Type-Options: nosniff — запрет угадывания типа контента.
• X-Frame-Options / frame-ancestors — защита от clickjacking.
• Referrer-Policy — ограничение утечки referrer.
• Permissions-Policy — управление доступом к камере, гео и др.

Как применять: задайте базовый набор глобально для всех ответов; проверьте результат сканерами заголовков.

def add_security_headers(resp):
    resp.headers["X-Content-Type-Options"] = "nosniff"
    resp.headers["Referrer-Policy"] = "strict-origin-when-cross-origin"
    resp.headers["X-Frame-Options"] = "DENY"
    return resp