Stimmt, ein Ticket aufzumachen, wäre noch eine Möglichkeit. Ich habe bei mir jetzt erstmal die größte Dramatik rausbekommen, indem ich das Cookie als "Secure" kennzeichne (es wird im produktiven Einsatz ja eh über https gearbeitet), dann warnt der Browser nicht mehr.

Ein anderer Workaround, den ich jetzt schon getestet habe, aber weil das obige ja funktioniert, jetzt noch nicht scharf geschaltet habe, wäre es, die neue ID auf anderem Weg an den Client zu senden und dann vom Client aus per Javascript zu setzen. So lässt sich dann auch problemlos das SameSite-Attribut setzen.