O CSP padrão não utiliza certos itens que deveriam estar configurados: o default-src deve ser “self”, a URL e as CDNs, se configuradas. Isso é feito para fragmentos de script, mas o fato de o default-src não estar definido, enquanto outros itens do CSP estão, pode causar erros ao conectar-se a uma CDN, entre outros problemas, em alguns casos, devido a essa inconsistência.
Isso foi descoberto ao configurar um ambiente de teste e depurar uma instância do Discourse agora hospedada em um sistema de armazenamento de objetos MinIO e CDN da StackPath.
Parece não haver como alterar isso, então pode ser necessário introduzir novas opções para configurar o CSP com certos itens de default-src. Caso contrário, o CSP funciona conforme o esperado.
(Chrome apresenta esse problema, Firefox em alguns casos, mas principalmente o Chrome).