Мне удалось воспроизвести проблему.
Недавно добавленная настройка позволяет внешним скриптам выполняться динамически без ручной конфигурации.
Эта функция недоступна в версии 3.2.
Однозначно, разрешать каталог «/uploads» — плохая идея.
Однако в качестве обходного решения достаточно разрешить только URL-адреса.
Если перейти к настройкам компонента:
Вы можете щёлкнуть правой кнопкой мыши по каждой ссылке, чтобы скопировать её и вставить в настройку content security policy script-src.
Не знаю, есть ли лучший способ решить проблему CSP в компоненте темы. 