Entrambe le opzioni sembrano controllare chi può incorporare il contenuto in un tag <iframe> , proprio come fa X-Frame-Options . Chrome e Safari stanno deprecando questa intestazione (parzialmente, allow-from per esempio), quindi è una questione di tempo che non verrà più utilizzata da Firefox e Edge, quindi sarà disponibile solo la politica di Content-Security.
Ho fatto alcuni test, e lo stesso risultato (blocco / permetti il dominio specifico) si ottiene usando una di queste opzioni, quindi, qual è davvero la differenza tra loro?
Aspettatevi alcuni esempi di utilizzo in cui uno è utile e l'altro non lo è.