Salut @michaeld, j’ai fusionné un correctif sur la dernière version de main avec FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub. Ceci est également disponible dans tests-passed et stable maintenant.
Ce changement de comportement dans la gestion des directives CSP provenait d’un correctif de sécurité rétroporté dans Rails - j’en parle plus en détail dans la PR. 
Discourse filtrera désormais ces valeurs avant de construire le CSP.
Concernant le mode sécurisé, comme il désactive uniquement le côté JavaScript des choses, il n’aurait pas aidé ici puisque ces données sont traitées côté serveur.