Ah ha… é por isso que os anúncios do AdSense desapareceram, foi o CSP recém-habilitado para permitir que o componente do Twitter funcionasse!
Tentar o ‘unsafe-inline’ acima não pode ser usado quando a criptografia está habilitada para DMs, agora temos uma teia de consequências não intencionais, se é que já vi uma… 