Я думал, что после создания сеанса браузер автоматически отправит правильный заголовок Cookie в асинхронных вызовах API
blockquote>Не для междоменных запросов для ресурсов с поддержкой CORS (что, кажется, имеет место здесь, если я правильно понял вашу описанную установку.)
Чтобы это произошло, вам нужно установить флаг
withCredentials
.