正直に言いますが、私は CSP の専門家ではありません!
とはいえ、ドメインをホワイトリストに追加することが理想的な場合もあれば、個々のスクリプトを対象とする方が適切な場合もあると思います。どのくらい多くのスクリプトをホワイトリストに追加する必要があるか、ソースを信頼できるかなどによって異なるはずです。必要に応じてドメインを包括的な対策として使えることをガイドに追記しておきます。
提供されたスクリーンショットの設定は確かに少し過剰でしたが、何も機能しなかったため、すべてをカバーしようとした試みだったのだと思います。
試しに Pure Chat をテストサイトに追加してみました。Chrome ではハッシュを使って動作させることができましたが、Safari や Firefox では不十分でした。Penar に確認したところ、これは unfortunate な状況の一例であり、以下で言及されているように 'unsafe-inline' が必要になるようです:
@BishopV Pure Chat を使い続けることを選ぶ場合、その設定にあるすべてのエントリを削除し、セキュリティを犠牲にして 'unsafe-inline' を追加するしか選択肢はないと思います。
代わりに Setup HubSpot chat Integration の使用を検討しましたか?これは当社の CSP ポリシーと非常に相性が良いようです。