adesso ho capito, prova a mettere sulla pagina html questo
<meta http-equiv="Content-Security-Policy" content="frame-src http://testallergeni.demsupermercati.local;">


non devi mettere niente dopo local, ma nell'iframe puoi mettere i parametri dopo


nel sito remoto allora devi abilitare tutte le origini visto che non abbiamo un indirizzo di un sito locale da abilitare


da quello scritto qui https://stackoverflow.com/questions/...ow-all-domains


devi togliere l'header x-frame-option in modo da poter inserire il sito in iframe da qualsiasi origine