El CSP predeterminado no utiliza ciertos elementos que deberían establecerse: default-src debería ser “self”, la URL y las CDNs si están configuradas. Esto se aplica a los fragmentos de script, pero si default-src no está establecido mientras otros elementos del CSP sí lo están, pueden producirse errores al conectarse a la CDN, entre otros, debido a la confusión.
Esto se descubrió al configurar elementos en una instancia de prueba y depurar una instancia de Discourse que ahora se encuentra en un sistema de almacenamiento de objetos MinIO y una CDN de StackPath.
Parece que no hay forma de modificar esto, por lo que podría ser necesario introducir nuevos elementos para configurar el CSP con ciertos valores de default-src. De lo contrario, el CSP funciona como se espera.
(Chrome tiene este problema, Firefox en algunos casos, pero principalmente Chrome)