Hi there,

nur zur Sicherheit: wird der iframe mit sandbox-Attribut erstellt?

Nein

Und ein preflight request ist ein OPTIONS Request, also kein GET oder POST, und es ist natürlich gut möglich, dass da wegen des iframe ein Preflight gemacht wird und dein Server oder dein PHP Script mit dem OPTIONS Request nicht klar kommt. Oder PHP als Handler für dieses Verb nicht eingerichtet ist. Das sollte sich aber aus dem Text der HTTP 500 Meldung oder dem Server-Log ergeben. Wenn es ein OPTIONS Request ist, musst Du den wohl entsprechend behandeln. Ich weiß nicht, ob es sinnvoll ist, die Header prinzipiell zu setzen.

Naja, der Server sagt: "GET /common/functions.js.php HTTP/1.1" 500

scheint also doch ein GET zu sein - nichtsdestotrotz haben die header-Anweisungen von Felix leider nichts geholfen...