Должен ли я устанавливать заголовки политики безопасности содержимого в ответах ajax также в одностраничном приложении?

У меня есть одностраничное приложение, в котором я загружаю только индекс, а каждый второй запрос-это запрос ajax.

Нужно ли мне использовать заголовки CSP в этих ответах ajax или CSP уже применяется для всего после загрузки индекса ? Таким образом, в основном единственное место, где мне нужно установить заголовки политики безопасности контента-это индекс?