Hola @michaeld, he fusionado una corrección en la última versión de main con FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub. Esto también está disponible en tests-passed y stable ahora.
Este cambio en el comportamiento al manejar las directivas CSP provino de un parche de seguridad retroportado en Rails; lo explico con más detalle en el PR. 
Discourse ahora filtrará dichos valores antes de construir el CSP.
En cuanto al modo Seguro, como solo deshabilita el lado de JavaScript, no habría ayudado aquí ya que estos datos se procesan en el lado del servidor.