А зачем вообще нужна Content-Security-Policy?

Типа, страницу мы качаем по шифрованному соединению...а значит она по определению будет такой, какую отдал сервер

Если сервер скомпрометирован, любая защита помножается на ноль, хедер с политикой просто уберут

От некомпетентных серверов разве что, которые не осилили XSS экранировать....но они и хедер строгий не поставят (если поставят вообще)