Merci. Je voulais le faire sans le plugin mais j'ai vraisemblablement cafouillé en chemin 😃
Voici mes règles
Header set Content-Security-Policy: "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.wp.com"
Header set Content-Security-Policy: "style-src 'self' 'unsafe-inline' *.jquery.com"
Header set Content-Security-Policy: "connect-src 'self'"
Header set Content-Security-Policy: "media-src 'self' *.youtube.com *.w.org *soundcloud.com"
Header set Content-Security-Policy: "child-src 'self'"
Header set Content-Security-Policy: "object-src 'self'"
Header set Content-Security-Policy: "form-action 'self'"
Header set Content-Security-Policy: "img-src 'self' *.gravatar.com *.wp.com *.w.org data:"
Merci pour l'outil de Google (le comble ^ ^ ')
Il ne me trouve que la politique img-src 🙁
Me remettrai une énième fois dessus à l'occasion...