objectタグ、embedタグ、appletタグ

FlashやJava Appletなど現在はあまり使われていないやつ関連

使われていないからこそ狙われがちなので、 object-src 'none' を指定しておくべき