MDN no especifica “ALLOWALL” como un valor posible para el encabezado X-Frame-Options. En Firefox, al cargar cualquier página con un incrustado, esto se puede ver en la consola:
¿Existe alguna forma de no enviar ese encabezado y especificar la directiva frame-ancestors para el encabezado Content-Security-Policy? Por el código, no parece haber una manera de configurar esto.
Creo que sí. Asumo que te referías a eliminarlo de Discourse (en lugar de ocultarlo mediante alguna configuración de Nginx). De todos modos, el encabezado en sí se considera obsoleto ahora. Hay otras ocurrencias del mismo encabezado en ese archivo.
Nota: El encabezado HTTP Content-Security-Policy tiene una directiva frame-ancestors que obsoleta este encabezado para los navegadores que lo admiten.
