feat: sécurité HIGH — token Bearer, validation, rate limiting, headers

- Token Bearer auth sur le streaming server (auto-généré ou env var)
- Validation actions replay (types, longueurs, coordonnées 0-1)
- Rate limiting in-memory (10 replays/min, 200 images/min)
- Security headers Flask (nosniff, SAMEORIGIN, XSS)
- Validation uploads (50MB max, MIME type)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

visual_workflow_builder/backend/app.py

@@ -195,6 +195,18 @@ try:
 except Exception as e:
     print(f"⚠️  WebSocket handlers désactivés: {e}")
 
+# ============================================================
+# Headers de sécurité (sécurité HIGH)
+# ============================================================
+@app.after_request
+def set_security_headers(response):
+    """Ajouter les headers de sécurité à toutes les réponses."""
+    response.headers['X-Content-Type-Options'] = 'nosniff'
+    response.headers['X-Frame-Options'] = 'SAMEORIGIN'
+    response.headers['X-XSS-Protection'] = '1; mode=block'
+    return response
+
+
 # Global error handlers
 @app.errorhandler(404)
 def not_found(error):