Mit diesen Einstellungen im header wird der Cookie über den Iframe geladen, es sei denn im Browser werden Drittanbieter Cookies blockiert und/oder SameSite ist Disabled:
header("Content-Security-Policy: default-src 'self' *.der-testserver.de");
header("X-Content-Security-Policy: default-src 'self' *.der-testserver.de");
header("X-WebKit-CSP: default-src 'self' *.der-testserver.de");
header('Set-Cookie: cross-site-cookie-2=test-ohne-samesiteattr;');