Вот мой сценарий:

Я делаю запрос ajax с foo.com на api.bar.com . В ответе он устанавливает некоторые куки, используя заголовок Set-Cookie . Домен в заголовке set-cookie — .bar.com . Я использую все перечисленные здесь шаги. Как сделать XMLHttpRequest междоменным с помощью Credentials, HTTP Authorization (CORS)?

Я могу видеть и проверить (используя расширение Chrome EditThisCookie), что файлы cookie установлены правильно для домена .bar.com .

Насколько я понимаю, когда я делаю ajax-запрос (используя withCredential:true ) к cdn.bar.com , он должен включать файлы cookie, которые были установлены ранее для домена .bar.com .

Эти куки не включаются в запрос, я вижу это в fiddler. Что мне здесь не хватает?

РЕДАКТИРОВАТЬ

Файлы cookie включаются в заголовок запроса, если я отправляю запрос на cdn.bar.com из источника app.bar.com . Проблема появляется только тогда, когда она foo.com из другого источника foo.com .

Проблема заключалась в SameSite что cookie-файл был ограничен SameSite . Если я изменю его с lax на No Restriction он будет работать нормально.