CSP: object-src

FlashやJava Appletなど現在はあまり使われていないやつ関連

使われていないからこそ狙われがちなので、object-src 'none'を指定しておくべき