Obrigado pelo lembrete de que eu precisava atualizar o OP. Feito. 
Implementamos uma strict-dynamic CSP há algum tempo e você não deve precisar fazer nenhuma configuração adicional.
Recomendamos remover https: ou unsafe-inline, a menos que você precise deles por algum motivo específico, pois eles não fornecem nenhuma proteção contra vulnerabilidades XSS.