La definición de una buena Política de Seguridad de Contenido para una aplicación compleja existente a menudo no es trivial. Es seguro decir que los esfuerzos están en curso para implementar la CSP en Google , pero imagine el costo de posibles roturas en tal sitio. También tenga en cuenta que algunos usuarios no se beneficiarían de un CSP, debido al uso de navegadores más antiguos, por lo que aún deben existir otras defensas.
La política de referencia es en realidad indeseable en un motor de búsqueda. Muchos operadores de sitios web utilizan la referencia para determinar qué palabras clave se utilizaron para acceder a su sitio, lo que ayuda a optimizar el contenido de su sitio y a comprender mejor su base de usuarios para generar contenido más relevante.
X-Content-Type-Options no se usa para la mayoría de los navegadores, e incluso cuando lo es, solo importa si un atacante puede controlar una parte significativa del comienzo de la respuesta.
Comprendo en profundidad los principios de defensa, pero obviamente la seguridad no existe en un vacío y debe considerar los aspectos operativos y de negocios. Como señaló @LvB, los encabezados de seguridad en una página de búsqueda son muy diferentes de las propiedades con mayor sensibilidad, como accounts.google.com y mail.google.com, que tienen una A.
(Todo esto es solo una especulación y no sé cuál es la respuesta oficial).