The HTTP Content-Security-Policy (CSP) frame-src directive specifies valid sources for nested browsing contexts loading using elements such as <frame> and <iframe>.

D.h. das ist ein Header der Rahmenseite, nicht der eingebundenen Seite. Und die Rahmenseite sagt: frames/iframes dürfen nur vom gleichen Host wie sie selbst kommen (self) oder von http://webassistants.qa.partcommunity.com. Sowas verstehe ich als eine Art Hackerschutz - wenn jemand schafft, HTML in die Seite zu injizieren, das einen bösen iframe einbinden will, dann wird das verhindert.

Nachtrag: Ich habe nun mal aus Spass 'http://webassistants.qa.partcommunity.com' als src des iframe definiert. Das führt zu folgender Fehlermeldung:

Refused to frame 'https://config.qa.partcommunity.com/' because it violates the following Content Security Policy directive: "frame-src 'self' http://webassistants.qa.partcommunity.com".

Die Fehlermeldung ist eindeutig und logisch, denn wenn ich 'http://webassistants.qa.partcommunity.com' direkt dem Browser aufrufe, werde ich nach 'https://config.qa.partcommunity.com/' weitergeleitet. D.h. aufgrund der definierten Regel:

"frame-src 'self' http://webassistants.qa.partcommunity.com".

... lässt der Browser das Laden der angeforderten URL grundsätzlich zu aber das Weiterleiten nicht mehr.