flask-talisman：给 Flask 应用套上一层 HTTP 安全头

flask-talisman：给 Flask 应用套上一层 HTTP 安全头

flask-talisman 在 GitHub 上有 934 Star，由 Google Cloud Platform 维护。这是一个 Flask 扩展，作用很直接：自动设置 HTTP 安全响应头，减少几种常见 Web 攻击的风险面。

1、它解决什么问题

Web 应用的安全问题里，相当一部分可以通过正确的 HTTP 响应头来缓解。点击劫持依赖 X-Frame-Options 来防御，XSS 攻击可以通过 Content Security Policy 限制脚本来源，会话劫持则可以用 secure 和 httponly 的 cookie 属性来降低概率。

手动在每个路由里配置这些头部既重复又容易遗漏。flask-talisman 把这套配置做成了一个 Flask 扩展，一行代码就能启用一套相对完整的安全头部策略。

默认启用的事项包括：

强制 HTTPS 连接，非调试模式下自动把 HTTP 请求重定向到 HTTPS
启用 HSTS，让浏览器在指定时间内记住只用 HTTPS 访问该域名
把 session cookie 标记为 secure，避免明文 HTTP 传输时被截获
把 session cookie 标记为 httponly，阻止 JavaScript 通过 document.cookie 读取
设置 X-Frame-Options 为 SAMEORIGIN，降低点击劫持的风险
设置 X-Content-Type-Options 为 nosniff，阻止浏览器猜测响应内容类型
设置严格的 Content Security Policy，默认只允许加载同源资源
设置 Referrer-Policy 为 strict-origin-when-cross-origin，控制跨站请求时携带的 referrer 信息

2、安装和使用

安装依赖：

pip install flask-talisman

引入并包裹 Flask 应用即可生效：

fromflaskimportFlaskfromflask_talismanimportTalisman app=Flask(__name__)Talisman(app)

完成这一步后，应用的所有响应都会自动带上默认的安全头部。

3、可调整的选项

扩展提供了大量配置项。force_https 控制是否强制跳转 HTTPS；force_https_permanent 可以把跳转状态码从 302 改为 301；frame_options 支持 SAMEORIGIN、DENY 或 ALLOW_FROM 三种取值；strict_transport_security 系列选项控制 HSTS 的详细行为。

Content Security Policy 是多数项目需要重点自定义的部分。默认策略非常严格，只允许加载同源资源，实际业务中通常需要放宽。扩展内置了一个 GOOGLE_CSP_POLICY 作为参考，也支持传入完全自定义的字典：

csp={'default-src':"'self'",'img-src':'*','media-src':['media1.com','media2.com'],'script-src':'userscripts.example.com'}talisman=Talisman(app,content_security_policy=csp)

如果某些路由需要特殊策略，也可以通过装饰器在视图级别覆盖：

@talisman(frame_options=ALLOW_FROM,frame_options_allow_from='*')defembeddable():return'Embeddable'

4、适用场景

所有对外提供服务的 Flask 应用都可以考虑引入。HTTP 安全头部是 OWASP 推荐的基础防护手段，配置成本低，收益明确。flask-talisman 把这种配置压缩到了几乎零摩擦的程度，开发者不需要逐一手写每个头部的语法也能快速启用。

需要提醒的是，这个扩展只管头部配置这一环。项目文档也明确建议配合 CSRF 库使用，并强调没有银弹，完整的 Web 应用安全还需要输入校验、认证授权、漏洞扫描等其他措施配合。

头部配置这一环。项目文档也明确建议配合 CSRF 库使用，并强调没有银弹，完整的 Web 应用安全还需要输入校验、认证授权、漏洞扫描等其他措施配合。