A RFC para o cabeçalho X-Frame-Options
indica que as opções válidas para o cabeçalho são:
-
DENY
-
SAMEORIGIN
-
ALLOW-FROM <uri>
Então, primeiro você precisa adicionar ALLOW-FROM
e, em seguida, especificar o URI do seu subdomínio. Algo parecido com isto:
ALLOW-FROM https://subdomain.example.com/