Sé que usar valores estrictos para default-src y scripts-src es una forma popular de prevenir (o al menos limitar el impacto) de ataques XSS. Pero me preguntaba si los CSP se pueden usar para evitar que los atacantes / pentestes enganchen a los navegadores utilizando el marco de BeEF.
Sí. El gancho de carne es solo una carga útil avanzada para un ataque XSS que se basa en la etiqueta script-src. Si tiene una Política de seguridad de contenido saludable, el navegador de las víctimas se negará a cargar el gancho externo.
CSP es una línea de defensa secundaria en caso de que tenga una vulnerabilidad de inyección de HTML.
Lea otras preguntas en las etiquetas xss content-security-policy beef