在某些情况下，用户可以根据不同的因素影响 MIME 类型。例如，在某些情况下，IE 可能会被欺骗以text/plain呈现text/html。而且，还有各种其他 MIME 类型可以被渲染并且可以泄露数据。例如，即使是 pdf 文件也可以执行 JavaScript，Flash、SVG、XML 或任何其他插件处理的内容类型也可以。

因此，最好在所有渲染内容上使用配置文件应用 CSP。

附带说明一下，始终返回正确的内容类型和正确的字符集属性以及X-Content-Type-Options: nosniff标题。