API, который мы используем, требует 'unsafe-eval' 'unsafe-inline', можем ли мы ограничить происхождение скрипта с помощью CSP без дальнейшего снижения безопасности?

У нас жесткая зависимость от API javascript, который требует 'unsafe-inline' 'unsafe-eval'если используется в CSP. Если мы добавим заголовок CSP со значениями ниже, сможем ли мы улучшить нашу позицию безопасности, ограничив внесение в белый список источников, из которых могут выполняться скрипты, или мы открываем себя больше, явно разрешая 'unsafe-inline' 'unsafe-eval'? Наше текущее мнение, что без CSP мы неявно разрешаем встроенные скрипты и eval, иначе наш API не будет работать, так что в чем обратная сторона добавления 'unsafe-inline' 'unsafe-eval' явно нашему CSP?

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://<localserver> https://<remoteserver>