Спасибо за напоминание о необходимости обновить исходный пост. Готово. 
Некоторое время назад мы внедрили CSP с strict-dynamic, поэтому дополнительная настройка, скорее всего, не потребуется.
Мы рекомендуем удалить https: или unsafe-inline, если они не нужны по какой-то конкретной причине, так как они не обеспечивают никакой защиты от уязвимостей XSS.