Hallo @michaeld, ich habe einen Fix in das neueste main mit FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub integriert. Dieser ist jetzt auch in tests-passed und stable verfügbar.
Diese Verhaltensänderung bei der Handhabung von CSP-Direktiven entstand aus einem zurückportierten Sicherheitspatch in Rails – ich gehe im PR näher darauf ein. 
Discourse wird solche Werte nun filtern, bevor die CSP erstellt wird.
Was den Safe Mode betrifft, da er nur die JavaScript-Seite deaktiviert, hätte er hier nicht geholfen, da diese Daten serverseitig verarbeitet werden.