Mit diesen Einstellungen im header wird der Cookie ├╝ber den Iframe geladen, es sei denn im Browser werden Drittanbieter Cookies blockiert:
header("Content-Security-Policy: default-src 'self' 'unsafe-inline' *.der-testserver.de");
header("X-Content-Security-Policy: default-src 'self' 'unsafe-inline' *.der-testserver.de");
header("X-WebKit-CSP: default-src 'self' 'unsafe-inline' *.der-testserver.de");
header('Set-Cookie: cross-site-cookie-1=test-samesiteattr-none; SameSite=None; Secure');