Vereinfacht gesagt: Das macht deine Seite gegenüber speziellen Angriffen sicherer und sichert u.a., dass die Skripte auf deiner Seite nur Sachen aus dem Internet nachladen, welche du gestattest. Das anschaulichste Beispiel, was die Content Security Policy bei mir mal verhindert hat, war, dass ein Plugin Google-Fonts aus dem Netz laden wollte.
Das gehört eigentlich zur Serverkonfiguration. Ich habe mich vor 2-3 Jahren mal damit beschäftigt, aber die Seite nicht veröffentlicht. Die Sache erscheint mir zu kompliziert, um sie für Hostingpakete zu verallgemeinern. Jeder Hoster hat eine andere Konfiguration und jede Website hat andere Anforderungen.
Ich habe die Seite mal hervorgeholt: Es läuft im Prinzip immer noch so, allerdings habe ich, damit dieses Beispiel funktioniert, nun für die Permissions-Policy „geolocation=(’self‘)“ eingetragen. Das Beispiel fragt die Position des Besuchers ab.
Es gibt auch ein Plugins, dazu kann ich nichts sagen. Ich bin auf Grund meiner Ausarbeitung jedoch skeptisch, dass es für jeden funktioniert.
Ich habe lange überlegt, das hier zu schreiben, weil es doch sehr kompliziert ist und ich kann schlecht erklären. Andere können das viel besser.