Ci sono casi in cui gli utenti possono influenzare il tipo MIME in base a diversi fattori. Ad esempio, IE può essere ingannato per rendere text/plain come text/html in determinate circostanze. E, ancora, ci sono vari altri tipi MIME che sono resi e possono exfiltrare i dati. Ad esempio, anche i file PDF possono eseguire JavaScript e possono quindi utilizzare Flash, SVG, XML o qualsiasi altro tipo di contenuto gestito da plug-in.
Pertanto, è meglio applicare CSP utilizzando il file di configurazione su tutti i contenuti sottoposti a rendering.
Nota a margine, restituisci sempre il tipo di contenuto corretto con l'attributo charset corretto insieme all'intestazione X-Content-Type-Options: nosniff .
Leggi altre domande sui tag content-security-policy