Para ser totalmente honesto, ¡no me considero un gurú de CSP!
Dicho esto, creo que hay escenarios donde sería ideal poner el dominio en la lista blanca, y otros escenarios donde es mejor apuntar a los scripts individuales. Estoy bastante seguro de que depende de cuántos scripts necesites poner en la lista blanca, si confías en la fuente, etc. Añadiré una nota a la guía mencionando que puedes usar el dominio como una solución general si es necesario.
Los ajustes en las capturas de pantalla proporcionadas definitivamente fueron un poco excesivos, pero imagino que fue solo un intento de cubrir todo ya que nada funcionaba.
Acabo de probar agregando Pure Chat a mi sitio de prueba como experimento. Logré que funcionara en Chrome usando un hash, pero no fue suficiente para Safari y Firefox. Lo consulté con Penar y esto parece ser una de esas situaciones desafortunadas que requerirán 'unsafe-inline', como se menciona en:
@BishopV Creo que tu única opción si decides quedarte con Pure Chat es eliminar todas las entradas que tienes en esa configuración y agregar 'unsafe-inline', a costa de la seguridad.
¿Has considerado usar Setup HubSpot chat Integration en su lugar? Parece funcionar muy bien con nuestra política de CSP.