La CSP par défaut n’utilise pas certains éléments qui devraient être définis : default-src devrait être “self”, l’URL et les CDN si configurés. Cela est fait pour les fragments de script, mais le fait que default-src ne soit pas défini alors que d’autres éléments de CSP le sont peut entraîner des erreurs de connexion au CDN, etc., dans certains cas en raison de ce désordre.
Cela a été découvert lors de la configuration d’une instance de test et du débogage d’une instance Discourse hébergée sur un système de stockage objet MinIO et un CDN de StackPath.
Il semble impossible de modifier cela, il faudra donc peut-être de nouvelles options pour configurer la CSP avec certains éléments default-src. Sinon, la CSP fonctionne comme prévu.
(Chrome rencontre ce problème, Firefox dans certains cas, mais principalement Chrome)