Danke für die Erinnerung, dass ich die OP aktualisieren musste. Erledigt. 
Wir haben vor einiger Zeit eine strict-dynamic CSP implementiert und Sie sollten keine weiteren Einstellungen vornehmen müssen.
Wir empfehlen, https: oder unsafe-inline zu entfernen, es sei denn, Sie benötigen sie aus einem bestimmten Grund, da sie keinen Schutz gegen XSS-Schwachstellen bieten.