Drupal 10 und Content Security Policy (CSP)

Ich versuche als Header eine Content Security Policy (CSP) für meine Internetseite einzurichten.

Dabei habe ich zwei Methoden ausprobiert.
1. Direkter Eintrag bei meinem Server (NGINX)
2. Mit dem Drupal-Modul CSP

In beiden Fällen habe ich als policy content="default-src 'self'; gewählt.

Dies funtioniert auch gut bis auf die Farbwahl meines Themas Olivero, dem neuen Standardthema von Drupal 10. Sobald ich den CSP-Header aktiviere, springt die Darstellung von Olivero auf die Standardfarbe (blau).

Jetzt kann ich zwar dem CSP-Header Ausnahmen zufügen, aber bisher klappt nichts.

Weiß jemand eine korrekte Formulierung für einen CSP-Header für Drupal 10 + Olivero?

.