URL do CDN deve ser adicionada ao src do script CSP

Tenho um site configurado com variáveis de ambiente (ENV) assim:

DISCOURSE_FORCE_HTTPS: true
DISCOURSE_S3_ACCESS_KEY_ID: 'KEY'
DISCOURSE_S3_SECRET_ACCESS_KEY: 'SECRET'
DISCOURSE_BACKUP_LOCATION: 's3'
DISCOURSE_ENABLE_S3_UPLOADS: true
DISCOURSE_ENABLE_S3_INVENTORY: false
DISCOURSE_S3_BACKUP_BUCKET: 'mybucket/backups'
DISCOURSE_S3_UPLOAD_BUCKET: 'mybucket'
DISCOURSE_S3_CDN_URL: 'https://mybuckets3.cdn.literatehosting.com'
DISCOURSE_S3_REGION: 'us-west-1'
DISCOURSE_BACKUP_WITH_UPLOADS: 'false'
DISCOURSE_CDN_URL: 'https://mybucket.cdn.literatehosting.com'

Funcionava perfeitamente até que adicionei a s3 cdn url. Após adicionar o CDN do S3, meu navegador começou a rejeitar solicitações para o CDN normal (não S3). Adicionei a URL do CDN em SiteSetting.content_security_policy_script_src= e, em seguida, voltou a funcionar. Isso parece ser um bug, não? Fiz apenas um reinício após alterar essas variáveis de ambiente, não uma reconstrução. Preciso executar um rake assets:precompile quando altero as configurações do CDN?

Hmm, isso deveria estar funcionando corretamente. O CSP deveria permitir apenas as pastas específicas no S3 e os CDNs de onde os scripts são carregados.

Qual CSP o Discourse está enviando com a página? Esta é uma instalação em subpasta?

Acho que entendi isso. Essa CSP está nos ativos estáticos gerados pelo rake assets:precompile? (Mas então, por que adicioná-la às configurações resolveria o problema?)

Tenho medo de não saber exatamente a maneira correta de obter a resposta para essa pergunta.

Não é em subpasta. Uma instalação bastante padrão, embora o traefik seja um proxy reverso na frente dele.

curl -I https://discourse.example.com/ ou o inspetor do Chrome, e obtenha o conteúdo do cabeçalho Content-Security-Policy.