В CSP 1.0 к сожалении можно только догадыватся по violated-directive. В CSP 1.1 есть новая директива effective-directive которая должна точно показывать какой ресурс конкретно был заблокирован.
Это не совсем так - именно для этого и придуман атрибут sandbox в таге iframe. Он ограничивает возможности ифрейма и создан именно для ограничения риска со стороны чужого кода.
