Merci pour le rappel que je devais mettre à jour l’OP. C’est fait. 
Nous avons implémenté une strict-dynamic CSP il y a quelque temps et vous ne devriez pas avoir besoin de faire d’autres configurations.
Nous vous recommandons de supprimer https: ou unsafe-inline à moins que vous n’en ayez besoin pour une raison spécifique, car ils ne fournissent aucune protection contre les vulnérabilités XSS.