En mi experiencia, el encabezado a continuación, cuando está habilitado, bloquea el script en línea en la página.
Content-Security-Policy: default-src 'self'
.
¿Por qué el código en línea no se considera "propio"?
Sé que puedo usar nonce u otras soluciones para permitir archivos en línea o pasar a archivos externos. Solo me interesa saber por qué el código en línea no se considera propio.
Espero que tenga sentido
Por defecto, el código en línea está deshabilitado, no solo por default-src 'self'
. Para habilitar el código en línea, uno tiene que usar unsafe-inline
en script-src