lemonlimelike, Мне кажется, что сначала надо добавить ещё настроек, а только потом доделывать скрипт. У меня заработало после указания таких настроек:
Там есть некоторые мои заголовки, соответственно не учитывайте их. Меня больше всего удивило необходимость использовать заголовок "Access-Control-Expose-Headers".
P.S.
На всякий случай озвучу, что тема, с которой мы разбираемся, называется CORS (не XSS!!!). Я когда на работе обсуждали с админами использование этой темя, то они хоть и умные ребята, но сильно плавали в этом понятии )))
