OAuth consent 画面を外部クライアントの埋め込みブラウザや connector UI で表示する場合、通常のブラウザで通る CSP でも form-action が送信をブロックすることがある。form-action の allowlist を入れても同一の送信先が拒否される環境では、consent route に限って form-action directive を外し、script-src 'none'、object-src 'none'、base-uri 'none'、frame-ancestors 'none'、hidden token と cookie 照合など他の防御を残す選択肢がある。