Da habe ich mir ja einen Wolf gesucht, denn es wurde bei Content Security Policy Verstößen nix protokolliert.
Doch nur kurz report-uri (veraltet, wußte ich nicht) gegen report-to ausgetauscht und schon geht es.
Den überaus entscheidenen Hinweis fand ich auf code.I-harness.com – so macht das mit CSP auch wieder Spaß.