CSP по умолчанию не включает некоторые необходимые настройки — default-src должно быть установлено в “self”, URL и CDN (если они настроены). Это применимо к фрагментам скриптов, однако если default-src не задан, а другие элементы CSP установлены, в некоторых случаях возникают ошибки при подключении к CDN и другим ресурсам из-за возникшей путаницы.
Эта проблема была обнаружена при настройке тестового экземпляра и отладке экземпляра Discourse, размещённого на объектном хранилище MinIO и CDN-системе от StackPath.
Похоже, что изменить это невозможно, поэтому, возможно, потребуется добавить новые параметры для настройки CSP с определёнными значениями default-src. В противном случае CSP работает как ожидается.
(Эта проблема наблюдается в Chrome, в некоторых случаях — в Firefox, но чаще всего в Chrome).