Вероятно стоит изменить рекомендуемый заголовок в докумендации с X-Frame-Options на Content-Security-Policy: frame-ancestors

На странице документации https://yandex.ru/support/metrica/behavior/click-map.html предлагается использовать следующее исключение в конфигурации вебсервера:

location / {
        set $frame_options '';
        if ($http_referer !~ '^https?:\/\/([^\/]+\.)?(yourdomain\.com|webvisor\.com|metri[ck]a\.yandex\.(com|ru|by|com\.tr))\/'){
            set $frame_options 'SAMEORIGIN';
        }
        add_header X-Frame-Options $frame_options;
        ...
    }

Однако добиться аналогичного результата можно, и лучше, с помощью заголовка:

Content-Security-Policy: frame-ancestors 'self' https://metrika.yandex.ru htts://metrika.yandex.by https://metrica.yandex.com https://metrica.yandex.com.tr https://*.webvisor.com