He estado pensando en cómo un desarrollador restringido (por cualquier razón) para servir un sitio no cifrado podría protegerse de amenazas como ISPs demasiado entusiastas que inyectan anuncios o notificaciones en sus páginas, o niños de secuencias de comandos en una cafetería que dan vuelta al desarrollador normalmente Código inofensivo en un sitio de ataque ad hoc. Mi primer pensamiento fue el encabezado de la Política de seguridad de contenido, pero ahora no estoy seguro.
Tengo entendido que un tercero malicioso puede modificar el tráfico http sin cifrar, incluidos los encabezados, realizando un ataque de hombre en el medio.
Si este es el caso, entonces el encabezado de la Política de seguridad del contenido sería vulnerable a la modificación o eliminación. El atacante podría luego insertar y hacer que el navegador se ejecute, lo que quisieran.
¿Le da al desarrollador una sensación de seguridad falsa al poder incluir un CSP en una página sin cifrar sin algún tipo de advertencia en la consola del navegador acerca de MiTM, o son las buenas razones para incluirlo como para compensar esto?