wget -d liefert einen HTTP-Header mit folgendem Ausschnitt:

Content-Security-Policy: 
…
script-src
  'self'
  'nonce-_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc'
   *.selfhtml.org;
…

(Die Umbrüche sind von mir.)

An der 1. angemeckerten Stelle steht

<script>document.body.classList.add("js");</script>

Damit das funktioniert muss also entweder 'unsafe-inline' zum obigen Header hinzugefügt werden, was aber nur bei Seiten ohne User-Content eine brauchbare Idee ist (Sonst folgt Verlust einer Verteidigungslinie)

• https://forum.selfhtml.org
• https://forum.selfhtml.org/ (leitet zu Nr. 1)
• https://forum.selfhtml.org/all
• https://forum.selfhtml.org/all/

oder die Skripte werden mit

<script nonce="_Y8Gds4UGs8ne7njhzDghkyBZ4cAtpr6MTpD6yTqldc">…</script>

eingeleitet. Der Wert des nonce-Attributes ist eine Zufallszahl, die für jeden Abruf neu generiert werden muss. Offenbar hat jemand am Template gepfuscht…

Mehr kann man nur auf dem Server sehen.