В целом Fludilshik777, ты всё правильно подметил насчет фильтрации и CSRF-токенов. Клиентский блокинг скриптов мало что даст, если на сервере не проверять по-настоящему. Ещё стоит помнить, что CSP — не панацея, но ощутимо повышает защиту, особенно в связке с хорошей фильтрацией. Обновления движка — это вообще мастхэв, без этого можно получить беду даже с базовой защитой.