Как вы обнаружили, да, они объединяются, если вы все делаете правильно. Однако я хочу добавить, что по возможности следует избегать использования метатегов с заголовками CSP.
Почему? Он идет вразрез со спецификацией и духом «заголовков CSP», поэтому некоторые функции не будут работать: «Примечание. Заголовок Content-Security-Policy-Report-Only не поддерживается внутри метаэлемента. Также как report-uri, предки фреймов и директивы песочницы. "
Компаниям очень трудно внедрить CSP безопасным способом, не ломая при этом свой веб-сайт и не требуя больших переделок. Вот почему я создал Enchanted Security , политику безопасности виртуального контента, которая работает, проверяя сетевые запросы, сделанные на странице, чтобы отслеживать их и блокировать вредоносные запросы. Настроить его гораздо проще, чем CSP, и у него есть возможности, которые вы не можете получить от CSP.