Il problema qui non è con il tuo CSP, ma più su come gli obiettivi di CSP e di Google Analytics e sistemi di tracciamento simili sono in disaccordo tra loro.
L'intestazione Content-Security-Policy è stata progettata partendo dal presupposto che i proprietari dei siti conoscono e controllano tutto il contenuto che viene eseguito sulle loro pagine e che è quindi possibile escludere tutto il resto. Questo non è il caso del codice di tracciamento e annuncio sulle pagine, dove anche una terza parte sta eseguendo il suo codice.
Per le applicazioni di "alta sicurezza", come i siti web di Internet banking, i processori di pagamento e simili, è spesso possibile ridurre al minimo il numero di sistemi di terze parti utilizzati: le banche tenderanno a gestire i propri sistemi di analisi, invece di utilizzare Google, e non avrà pubblicità di terze parti su pagine all'interno dell'applicazione di internet banking. Questo indica un'opzione per avere un CSP valido: ospita il tuo codice di tracciamento e pubblicità su un dominio che controlli. Questo non è sempre fattibile per un'azienda più piccola.
Potresti anche cercare di spostare elementi sicuri del tuo sito in un sottodominio e applicare un CSP rigoroso a questo, con una politica più rilassata sulle parti aperte. Ciò significa che il contenuto statico o il contenuto di cui si è certi non può essere modificato o aggiunto dagli utenti, può essere offerto con annunci / tracciamento, mentre le sezioni autenticate o le sezioni in cui viene visualizzato il contenuto dell'utente potrebbero essere limitate ai domini conosciuti . Non è perfetto, ma è migliore di un CSP aperto che consente tutti i nomi degli host.