Посмотрите, что именно вам там набилдил этот самый $product_builder, и там уже разбирайтесь, что с запросом не так (может быть, ключевое слово использовали в имени столбца, например).
IB495, ну так вам браузер будет 2 запроса будет отправлять - OPTIONS (preflight) и сам GET/POST/что-то ещё, потому какой-нибудь самый простой роутинг всё-таки сделать придётся, чтобы их отличать друг от друга.
А если запросы делаете с сервера на сервер, то весь этот CORS не нужен вообще, это для браузеров приблуда.
IB495, и где ваш запрос хотя бы что-то возвращает? Тем более, судя по вашему коду, никаким роутингом не пахнет, за любые запросы отдувается одна-единственная функция.
А тут нужно определиться, либо закрыть, либо редирект.
Перенаправить весь сайт можно через присвоение top.location, но браузеры могут заблокировать подобный редирект, либо фрейм может быть внедрён с опцией sandbox и отключенным JS.
Анастасия, httponly защищает от вредоносного javascript, который может каким-нибудь образом оказаться на странице (в результате XSS-уязвимости, или кривая рекламная сеть/счётчик могут подбросить, или обманутый злоумышленниками пользователь самостоятельно вставить в консоль, не столь важно) и утащить куки авторизованного пользователя. Больше ни от чего не защищает и не обязано защищать.
Просто если случится такая проблема и чужой скрипт будет выполнен на вашей странице - то для этого скрипта куки с httponly будут невидимыми, и всё. Конечно, вы должны избегать попадания на страницу чужих скриптов, но не всегда это возможно, рекламные сети требуют вставки своего кода, и таким способом вы защитите ваши куки от них.
