Grazie per il promemoria che dovevo aggiornare l’OP. Fatto. 
Abbiamo implementato una strict-dynamic CSP un po’ di tempo fa e non dovresti aver bisogno di fare ulteriori configurazioni.
Consigliamo di rimuovere https: o unsafe-inline a meno che tu non ne abbia bisogno per qualche motivo specifico, poiché non forniscono alcuna protezione contro le vulnerabilità XSS.