Gibt es hierzu irgendwo Erläuterungen, die das Problem verständlich skizzieren?

Ja. Und ich habe die die Empfehlungen mal „durchgezogen“, obwohl es für diese Seite nicht notwendig ist (kein User-generierter Inhalt):

https://developer.mozilla.org/en-US/observatory/analyze?host=code.fastix.org#csp

Dort steht auch, Weshalb welche Einstellung was weshalb wie wirkt.

(Ich hab [A+] geschafft, das Online-Banking einer deutschen Bank kommt übrigens nur auf [B])

Gibt es ggfs. auch eine Web-Seite, die veranschaulicht, wie sich die unterschiedlichen CSP setting für style-src auf die Darstellung auswirken?

Ganz einfach: Wenn es „verboten“ wird ignoriert der Browser das. Und was sich wie ändert hängt also von der Webseite ab. Das Inline-Zeug ist dann weg.

Eigentlich soll das gefährliche Zeug aus dem User- oder Dritt-Content schon von Server weggefiltert werden, aber die Browserhersteller haben da - völlig zu Recht (siehe unten) - offensichtlich kein Vertrauen.

Das ist also nur eine letzte, sehr schwache Verteidigungsline. Aber wenn jede Bank vermeint auf ihrem Webautritt einen Chat haben zu müssen (in den man „bunt“ schreiben und Smileys einfügen kann) kann keine(r) mehr sagen, welche Libarys (Server- und Cklientseitig) da welche Libarys benutzen und wie „sicher“ das ganze Zeug dann noch sein kann, muss diese letzte, sehr schwache Verteidigungsline sein.