Hallo,
Das hat nichts mit HSTS und den X- headern zu tun, sondern nur mit Content-Security-Policy.
Die CSP muss relativ präzise definiert werden, da sie genau angibt, was ein Browser machen darf und was nicht.
In deinem Fall steht im CSP nirgendst, dass der Browser Javascript in einem tag ausführen darf, weshalb der Tracking Code-Block ignoriert wird.
Du kannst Laboratory (Content Security Policy / CSP Toolkit) – Holen Sie sich diese Erweiterung für 🦊 Firefox (de) und Is the Piwik JavaScript Tracker CSP (Content Security Policy) compatible and how do I set it up? FAQ - Analytics Platform - Matomo verwenden um eine CSP zu bauen, welche für deine Seite passt.