A lista de origem para a diretiva de Política de Segurança de Conteúdo 'script-src' contém uma origem com um caminho inválido: '/gtag/js?id=UA-XXXXXXXX-X'. O componente de consulta, incluindo o '?', será ignorado.
Não adicionamos essa URL nas configurações do nosso CSP; acredito que ela seja adicionada pelo Discourse e o componente de consulta provavelmente não é válido em um CSP.
Temos um componente de tema personalizado que inclui manualmente o https://www.googletagmanager.com/gtag/js?id=U_XXX… . Antes, estávamos usando o método nativo do Discourse, mas o removemos porque precisávamos adicionar alguns métodos adicionais do gtag que são chamados antes da inclusão do analytics.
Talvez essa CSP tenha sido configurada quando estávamos usando o método nativo e, por algum motivo, agora não a remove?
Essa correção não foi aplicada à versão estável, então, receio que você precisará atualizar para a versão tests-passed ou aguardar a próxima versão estável. Enquanto isso, o aviso que você vê pode ser ignorado com segurança — o navegador removerá automaticamente o componente de consulta da URL.