Acabamos de implementar o suporte à diretiva frame-ancestors do CSP. Por enquanto, ela está desativada por padrão, atrás da configuração do site content security policy frame ancestors. Você pode adicionar domínios à lista como sempre, via /admin/customize/embedding.
Essa diretiva será ativada por padrão no próximo ciclo de lançamentos.