Feature Policy も Content Security Policy も複数の HTTP ヘッダーに分割していいし、RFC 7230 に則ってカンマ区切りにしてもいいんやなぁ。知らなかった。
https://w3c.github.io/webappsec-feature-policy/#process-response-policy
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy#Multiple_content_security_policies