Par défaut, les requêtes CORS n’envoient pas les cookies.

Pour envoyer les cookies : xhr.withCredentials = true.

Mais ça ne marchera pas si Access-Control-Allow-Origin vaut *.

Aussi : dans l’en-tête Access-Control-Allow-Origin, il faut inclure le scheme.