А зачем вообще нужна Content-Security-Policy?
Типа, страницу мы качаем по шифрованному соединению...а значит она по определению будет такой, какую отдал сервер
Если сервер скомпрометирован, любая защита помножается на ноль, хедер с политикой просто уберут
От некомпетентных серверов разве что, которые не осилили XSS экранировать....но они и хедер строгий не поставят (если поставят вообще)