1. no-cors
на клиенте это не "отключение cors", иначе не было никакого смысла в cors, это метка "мне похрен на ответ, я просто отправляю". Соответственно с такой меткой ты не можешь читать ответ никак.
2. Если при обычном запросе возникакет ошибка cors - значет сервер не посылает allow-*
заголовков и cors не разрешён.
3. Заголовок Set-Cookie
ставит, очевидно, cookie
. Напрямую его читать в любом случае нельзя.
3.1. Но можно читать поставленную cookie
3.1.1. Но читать её можно только на том домене доя которого она поставлена.
3.1.2. Читать её можно только если она не (как в данном случае) HTTP-only
.
5. Возможно вам и не нужно ничего ни откуда доставать: HTTP-only
куки передаются браузером в запросе самостоятельно, из скрипта к ним доступа нет. Однако он и не нужен. Отправляйте все запросы с credentials: "include"
и значение автоматически будет присутствовать в заголовке Cookie
..