見た感じ厳しくないのにどして厳しい感じになるんだろう。
Content-Security-Policy: frame-src https:; frame-ancestors https:; style-src 'self' 'unsafe-inline'; script-src 'self'; object-src 'self'; img-src data: https: blob:; media-src data: https:; connect-src 'self' wss://mstdn.nere9.help blob:; upgrade-insecure-requests
別ページで動くもんは動いてるしヘッダの中身はおんなじはずだから、なんかくふーしたら /web/ もいけそーな気もするのだけどまだ試行錯誤してない。