CORS с учётными данными (Credentials)

По умолчанию междоменные запросы не посылают куки/авторизационные заголовки. Для CORS-запроса с учётными данными клиент должен установить xhr.withCredentials=true, а сервер – ответить Access-Control-Allow-Credentials: true и указать конкретный Origin в заголовке Access-Control-Allow-Origin (не "*"). Также важно, чтобы браузер доверял домену (имеет соответствующие куки) и чтобы preflight-запрос учитывал этот режим.