Оставлю ответ для потомков, поскольку топикстартер его не дождался.
1.
SAMEORIGIN означает те же
схема/
хост/
номер_порта. То есть на странице
http://site.ru с заголовком
X-Frame-Options SAMEORIGIN ифрейм по
https:// загружать
не разрешено. с
http://www.site.ru - тоже
не разрешено.
2. В rfc7034 на заголовок X-Frame-Options была допущена неоднозначность, поэтому в случае множественной вложенности ифреймов, некоторые браузеры проверяют на SAMEORIGIN только top-level документ, другие - всю цепочку вложенности ифреймов.
Поэтому "собака могла порыться" как в п1, так и в п2.
Если HTTP-заголовок издан в файле .htaccess, издавать его в конфигах worpdess смысла нет, поскольку
.htaccess имеет приоритет и перезапишет заголовок из PHP header().
100% вариант разрешить ифреймы с SAMEORIGIN - указать разрешённые для ифрейминга домены в директиве frame-ancestors, которая
отменяет X-Frame-Options.