Der Content Security Policy Header sollte noch gesetzt werden, und zwar so, dass er den iframe von youtube und openstreetmap zulässt, und Skripte von der eigenen Seite.