A MDN não especifica “ALLOWALL” como um valor possível para o cabeçalho X-Frame-Options. No Firefox, ao carregar qualquer página com um embed, isso pode ser visto no console:
Existe alguma maneira de não enviar esse cabeçalho e especificar a diretiva frame-ancestors para o cabeçalho Content-Security-Policy? Pelo código, não parece haver uma forma de configurar isso.
Acho que sim. Estou assumindo que você quis dizer removê-lo do Discourse (em vez de escondê-lo usando alguma configuração do Nginx). O próprio cabeçalho é considerado obsoleto agora de qualquer forma. Há outras ocorrências do mesmo cabeçalho naquele arquivo.
Nota: O cabeçalho HTTP Content-Security-Policy possui uma diretiva frame-ancestors que torna este cabeçalho obsoleto para navegadores compatíveis.
