Erlaubst du zum Beispiel das Nachladen von Javascript nur von deiner eigenen Domain, würde der Browser obigen Kaspersky-Kram gar nicht erst anfassen.

Nun, die Headerzeilen sind nur durch durch eine Leerzeile vom Content getrennt. Glaubst Du nicht, dass ein Hersteller eines Proxys, der es sich erlaubt, verschlüsselt gesendete Webseiten zu entschlüsseln und vor der Abgabe an den Browser mit seinem eigenen Zertifikat (und "netten" Ergänzungen des Inhalts) neu zu verschlüsseln, die Content Security Policy links liegen lässt und nicht an die seine Anforderung "muss aus Sicht des Benutzers (also scheinbar) funktionieren" anpasst?