¿Es seguro enviar Content-Security-Policy para páginas generadas dinámicamente con text/html y otros tipos de contenido de hipertexto solamente o debo enviar este encabezado para todos los archivos, incluidos los activos estáticos: imágenes, archivos JS y CSS?
Hay casos en los que los usuarios pueden influir en el tipo MIME según diferentes factores. Por ejemplo, se puede engañar a IE para que genere text/plain como text/html en ciertas circunstancias. Y, nuevamente, hay varios otros tipos MIME que se procesan y pueden filtrar datos. Por ejemplo, incluso los archivos pdf pueden ejecutar JavaScript y Flash, SVG, XML o cualquier otro tipo de contenido manejado por complementos.
Por lo tanto, es mejor aplicar el CSP usando el archivo de configuración en todos los contenidos renderizados.
En una nota al margen, siempre devuelve el tipo de contenido correcto con el atributo charset correcto junto con el encabezado X-Content-Type-Options: nosniff .
Lea otras preguntas en las etiquetas content-security-policy