Wie soll denn ein "Content-Security-Policy-Header" mit nachfolgender Violation seitens des Markups/Inline-Scripts dazu führen, dass der Server selbst bereits mit HTTP 404 antwortet.

Es gab da den Zusammenhang, dass irgendein Programmteil beim Herumsuchen nach Daten nichts fand, was er verwerten wollte (Genau genommen eine nicht vorgesehene Kombination von Daten fand, weshalb es (das Programm) nichts verwerten wollte), sodann nonce-Einträge nicht ins Template [pr|b]ügelte und den Error-Code 404 (statt 500)[¹] ausgab und behauptete, nichts gefunden zu haben. Das weil es genau das macht, was der Programmierer auf den Zettel geschrieben hatte.

Der Zusammenhang erschließt sich mir überhaupt nicht.

Ich kann ihn auch nur grob ahnen.

¹) Ich mach sowas auch, um ggf. Angreifer nicht über einen Fortschritt zu informieren…