Implementação de Content-Security-Policy com JSF

Boa tarde pessoal.

Faz alguns anos que não posto aqui, bom estar de volta :grinning:
Atualmente estou trabalhando em alguns projetos legado bem antigos, feitos com JSF 1.2 e JSF 2. Tivemos uma auditoria recentemente e precisaremos implementar Content-Security-Policy .
Sou bem leigo nisso, alguém ai já trabalhou com CSP ? É uma simples modificação de colocar um header nas paginas ou preciso configurar algo no AS ? Alguma known-issue de CSP com JSF ?

Abraços!