Привет, @michaeld, я применил исправление в актуальную ветку main через FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub. Это изменение также доступно в ветках tests-passed и stable.
Изменение в поведении обработки директив CSP возникло из-за перенесённого патча безопасности в Rails — я подробнее рассказываю об этом в PR. 
Теперь Discourse будет фильтровать такие значения перед формированием CSP.
Что касается режима Safe, поскольку он отключает только JavaScript-часть, он не помог бы в данном случае, так как эти данные обрабатываются на стороне сервера.