Depois de olhar para o código-fonte, parece que a mensagem de erro está incorreta e enganosa. O que parece estar causando o problema é que existem vários elementos JavaScript inline. Em outras palavras, a política que você está definindo permite conteúdo como este:
<script src="/media/myjsfile.js"></script>
Mas não assim:
<script>function myJsFunction()</script>
Para permitir JavaScript inline ( não recomendado, pois isso anula o propósito de usar o CSP ), é necessário modificar sua política para algo como:
script-src 'self' 'unsafe-inline'
Como alternativa, você pode refatorar o código para não usar o JS sequencial ou aproveitar o nonce . Tenha em mente que o suporte para o atributo nonce não está atualmente presente em todos os navegadores (é parte da mais recente especificação da Política de segurança de conteúdo). Até onde sei, atualmente ele é suportado apenas no Chrome.