Talvez eu esteja perdendo alguma coisa, mas não vejo essas configurações na interface de configurações.
content_security_policycontent_security_policy_report_onlycontent_security_policy_collect_reports(Vejo que está oculto agora)content_security_policy_script_src
Essas opções estão disponíveis para instâncias hospedadas? Não vi nenhuma menção de que isso seria uma limitação na postagem original ou nos comentários.
Edição: Também tentei definir a política de segurança através de um tema.
Não parece estar funcionando conforme instruído na postagem original.
Estou assumindo que o plano hospedado em que estou não permite isso, mesmo quando feito através de um tema ou componente de tema?
Ou talvez eu esteja fazendo algo totalmente errado.