Olá @michaeld, mesclei uma correção na versão mais recente do main com FIX: invalid CSP directive sources should allow site to boot with valid CSP directives by tyb-talks · Pull Request #31256 · discourse/discourse · GitHub. Isso também está disponível em tests-passed e stable agora.
Essa mudança de comportamento no tratamento de diretivas CSP veio de um patch de segurança retroportado no Rails - abordo isso com mais detalhes no PR. 
O Discourse agora filtrará tais valores antes de construir o CSP.
Em relação ao Modo Seguro, como ele apenas desabilita o lado JavaScript das coisas, ele não teria ajudado aqui, pois esses dados são processados no lado do servidor.