Ciao @michaeld, ho unito una correzione nell’ultima versione di main con FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub. Questa è ora disponibile anche in tests-passed e stable.
Questa modifica nel comportamento della gestione delle direttive CSP è derivata da una patch di sicurezza backportata in Rails - ne parlo più in dettaglio nel PR. 
Discourse ora filtrerà tali valori prima di costruire la CSP.
Per quanto riguarda la modalità Safe, poiché disabilita solo il lato JavaScript delle cose, non avrebbe aiutato in questo caso poiché questi dati vengono elaborati lato server.