Mit diesen Einstellungen im header wird der Cookie nicht über den Iframe geladen:
header("Content-Security-Policy: default-src 'self' *.der-testserver.de");
header("X-Content-Security-Policy: default-src 'self' *.der-testserver.de");
header("X-WebKit-CSP: default-src 'self' *.der-testserver.de");
header('Set-Cookie: cross-site-cookie-3=test-samesiteattr-lax; SameSite=Lax; Secure');