Hay casos en los que los usuarios pueden influir en el tipo MIME según diferentes factores. Por ejemplo, se puede engañar a IE para que genere text/plain
como text/html
en ciertas circunstancias. Y, nuevamente, hay varios otros tipos MIME que se procesan y pueden filtrar datos. Por ejemplo, incluso los archivos pdf pueden ejecutar JavaScript y Flash, SVG, XML o cualquier otro tipo de contenido manejado por complementos.
Por lo tanto, es mejor aplicar el CSP usando el archivo de configuración en todos los contenidos renderizados.
En una nota al margen, siempre devuelve el tipo de contenido correcto con el atributo charset correcto junto con el encabezado X-Content-Type-Options: nosniff
.