Ну, CSP — это реально полезная штука, особенно когда на проекте куча всяких чужих скриптов. Раньше я без этого жил — и пару раз ловил косяки с XSS, хотя особо не вникал. Сделал политику — и сразу спокойнее, браузер блокирует левые штуки. Только настроить грамотно сложно, особенно если у тебя много inline-скриптов или нестандартных фишек. Но общий профит реально есть.