@michaeld さん、FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub で最新の main に修正をマージしました。これは現在 tests-passed および stable でも利用可能です。
CSP ディレクティブの処理におけるこの動作の変更は、Rails のバックポートされたセキュリティ パッチに由来するものです。PR でさらに詳しく説明しています。
Discourse は、CSP を構築する前にそのような値をフィルタリングするようになります。
セーフモードに関しては、JavaScript のみを無効にするため、このデータはサーバー側で処理されるため、ここでは役に立ちませんでした。