CSP デフォルトセキュリティポリシー data:

デフォルトセキュリティポリシー
Webアプリケーションにおいて最も有名なセキュリティ問題でありながら、10 年以上も抜本的な対策が導入されてこなかった、クロスサイトスクリプティングを解決することがCSP最大の目的です。
そのためCSPでは、HTML中に画像などをdata: URLで埋め込んだり、スクリプトやスタイルをインラインで記述することを一切禁止します。それらはすべて外部ファイルに分離して、ポリシーで明示的に許可したサイトから読み込む必要があります。このように制限することで、例え攻撃者がHTMLの中に自由な文字列を埋め込むことができても、サーバのファイルを書き換えることができない限り、任意のスクリプトやコンテンツを読み込ませることはできなくなります
https://www.oreilly.co.jp/pub/9784873114972/FxHacksR__sample05.pdf