adesso ho capito, prova a mettere sulla pagina html questo
<meta http-equiv="Content-Security-Policy" content="frame-src http://testallergeni.demsupermercati.local;">
non devi mettere niente dopo local, ma nell'iframe puoi mettere i parametri dopo
nel sito remoto allora devi abilitare tutte le origini visto che non abbiamo un indirizzo di un sito locale da abilitare
da quello scritto qui https://stackoverflow.com/questions/...ow-all-domains
devi togliere l'header x-frame-option in modo da poter inserire il sito in iframe da qualsiasi origine