Es la preocupación de que un usuario pueda insertar javascript que
¿Entonces ser servido a otros usuarios?
Sí, y que JS puede hacer lo que quiera, al igual que una etiqueta de secuencia de comandos completa, con unas pocas restricciones de sintaxis inconvenientes menores.
Si es así, ¿no es esto un problema con el hecho de que un usuario de alguna manera tiene el
¿Capacidad de servir lo que quieran a los usuarios de su sitio?
Sí, no quieres que eso suceda, CSP o no. Desea transmitir la intención del usuario, no volver a publicar la entrada del usuario. CSP no es la primera línea de defensa, es una copia de seguridad para mitigar el daño de los errores, como la falta de saneamiento suficiente, los motores de plantillas demasiado inteligentes y los errores simples.
¿Cómo es esto un problema de CSP?
Es contenido y se relaciona con la seguridad, por lo que la Política de seguridad del contenido es un buen lugar para abordar el problema, ¿no?