Если браузер запрашивает ресурс из URI, а заголовок CSP из первого ответа указывает только на загрузку ресурсов из 'self', ie:
Content-Security-Policy: default-src 'self'
Но последующие запросы ресурсов для тот же источник возвращает более мягкого CSP в своем заголовке, ie:
Content-Security-Policy: default-src 'self' *.trusted.com
Применяет ли браузер наиболее разрешенную указанную политику?