devi vedere dove scrivi il content security policy, negli header della pagina lato server

dovrebbe esserci questa riga frame-ancestors 'self' https://docs.google.com

il tuo file inizia con il link sopra?

prova a vedere anche qui CSP: frame-ancestors - HTTP | MDN (mozilla.org) e frame-ancestors in CSP ⟶ Allowing / Blocking iframes from Loading (content-security-policy.com)

Non ho capito pero' se devi mettere il sito che vuoi incorporare o se google deve permettere l'incorporamento