неожиданный токен: числовой литерал

Я думал, что после создания сеанса браузер автоматически отправит правильный заголовок Cookie в асинхронных вызовах API

blockquote>

Не для междоменных запросов для ресурсов с поддержкой CORS (что, кажется, имеет место здесь, если я правильно понял вашу описанную установку.)

Чтобы это произошло, вам нужно установить флаг withCredentials .