Какие ранее нерешаемые задачи решает Content Security Policy?

И так давайте ещё раз расмотрим основное описание CSP

Content Security Policy (CSP, политика защиты контента) — это механизм обеспечения безопасности, с помощью которого можно защищаться от атак с внедрением контента, например, межсайтового скриптинга (XSS, cross site scripting). CSP описывает безопасные источники загрузки ресурсов, устанавливает правила использования встроенных стилей, скриптов, а также динамической оценки JavaScript — например, с помощью eval. Загрузка с ресурсов, не входящих в «белый список», блокируется.

Если ваш хостинг взломали, получили полный доступ к файлам - это уже беда, и многие защитные действия уже бесполезны, в плане CSP, и особенно если "вредитель" знает или замечает что на сайте настроена CSP, он конечно может спокойно удалить заголовки, однако часто бывает (как практика показывает) что после взлома "вредитель" просто вставляет свой код в файлы и уходит "восвояси". Второй очень важный момент желательной настройки CSP это то что данные правила очень помогают при "незаконном" внедрении JS, IFRAME и т.д посредством браузера пользователя.

Как отсутствие настроек CSP может навредить сайту?

Представьте что на ваш сайт заходят посетители, у который заражён вирусами браузер, и что происходит? посетитель видит (например) рекламные баннеры, ссылки, айфреймы и т.д , не думаю что кому то хочется чтобы посетители видели чужую рекламу на своём сайте или переходили бы по чужим ссылкам. Конечно в интернете пока бытует мнение, что:

Новый веб-стандарт страдает от существенных недостатков, ставящих под сомнение его пригодность как защиты от XSS

однако есть намного больше причин для поддержки и использования данного стандарта.В настояшее время пока есть недостатки данной политики, многие браузеры бывают 'неадекватны', однако я думаю в ближайщее время данные недочёты уберут и интернет станет более безопастным! )