Ciao Fermat,
devi impostare un header nella pagina dove inserisci il frame ed abilitare il sito remoto, dovresti usare una cosa del genere

response.addheader "X-Frame-Options", "ALLOW-FROM https://example.com"

ma come scritto qui How to use X–Frame–Options's `ALLOW–FROM` directive · helmetjs/helmet Wiki · GitHub e' obsoleto, devi usare il content security policy frame-ancestors sempre negli header