Hola,
¿Alguien puede compartir la configuración de la política meta CSP?
Tenemos CSP habilitado en Meta y recomendamos que todos lo mantengan habilitado en sus propios sitios. Proporciona una buena capa de protección contra exploits. Content Security Policy (CSP) - HTTP | MDN
Lo traduciré 
No tenemos demasiadas configuraciones de CSP para compartir. Solo activado o desactivado…
Son otros sistemas donde los administradores de sistemas pueden fácilmente ajustar CSP. Discourse no es uno de esos.
(Fuera de tema, pero CSP está muy sobrevalorado, porque hay que usar tantas configuraciones que en realidad permiten demasiadas cosas debilitando CSP. Y en sitios globales, los anuncios de Google y CSP son un dolor de cabeza…)
Puedes añadir nuevos dominios a la política CSP de script src en la configuración del sitio, que es el caso de uso principal para nuestros usuarios.
Los plugins pueden extender cualquier otra directiva CSP.
Bueno saber que puedo/podemos anular el valor predeterminado con CSP a escala completa. Cada día algo nuevo 