RFC для X-Frame-Options
заголовка указывается, что допустимые параметры для заголовка являются:
DENY
SAMEORIGIN
ALLOW-FROM <uri>
Итак, сначала вам нужно добавить, а ALLOW-FROM
затем указать URI вашего субдомена. Что-то вроде этого:
ALLOW-FROM https://subdomain.example.com/