Angular と Content-Security-Policy

Angular Material を使っている。
以下の response header を入れると data: スキーム使ってる部分でエラーに。

Content-Security-Policy: default-src 'self'

以下の response header でエラーはでなくなるけど、data: との関連がわからん。

Content-Security-Policy: default-src 'self';style-src 'self' 'unsafe-inline';

関連記事は、以下かな。
https://www.stackhawk.com/blog/angular-content-security-policy-guide-what-it-is-and-how-to-enable-it/