Gracias por el recordatorio de que necesitaba actualizar el OP. Hecho. 
Implementamos una strict-dynamic CSP hace un tiempo y no deberías necesitar hacer ninguna configuración adicional.
Recomendamos eliminar https: o unsafe-inline a menos que los necesites por alguna razón específica, ya que no proporcionan ninguna protección contra vulnerabilidades XSS.