デフォルトの CSP には、設定すべきいくつかの要素が含まれていません。default-src は「self」、URL、および構成されている場合の CDN に設定されるべきです。これはスクリプト断片に対して行われていますが、default-src が設定されていない一方で他の CSP 項目が設定されていると、CDN への接続などで、混乱によりエラーが発生する場合があります。
これは、テストインスタンスでの設定中に発見され、現在 StackPath の MinIO オブジェクトストレージおよび CDN システム上で動作している Discourse インスタンスのデバッグ中に判明しました。
これを修正する方法はないようです。したがって、特定の default-src 項目を用いて CSP を構成するための新しい設定項目が必要になるかもしれません。それ以外は、CSP は期待通りに機能します。
(この問題は Chrome で発生しており、Firefox でも一部のケースで発生しますが、主に Chrome です)