Eu consigo reproduzir.
Uma configuração introduzida recentemente permite que scripts externos sejam executados dinamicamente sem configuração manual.
Não está disponível na versão 3.2.
Definitivamente não é uma boa ideia permitir o diretório “/uploads”.
No entanto, como uma solução alternativa, permitir apenas os URLs deve ser aceitável.
Se você for às configurações do componente:
Você pode clicar com o botão direito em cada link para copiar e colar na configuração content security policy script-src.
Não sei se há uma maneira melhor de lidar com a questão do CSP aqui a partir de um componente de tema. 