Aetae

1. no-cors на клиенте это не "отключение cors", иначе не было никакого смысла в cors, это метка "мне похрен на ответ, я просто отправляю". Соответственно с такой меткой ты не можешь читать ответ никак.
2. Если при обычном запросе возникакет ошибка cors - значет сервер не посылает allow-* заголовков и cors не разрешён.
3. Заголовок Set-Cookie ставит, очевидно, cookie. Напрямую его читать в любом случае нельзя.
3.1. Но можно читать поставленную cookie
3.1.1. Но читать её можно только на том домене доя которого она поставлена.
3.1.2. Читать её можно только если она не (как в данном случае) HTTP-only.
5. Возможно вам и не нужно ничего ни откуда доставать: HTTP-only куки передаются браузером в запросе самостоятельно, из скрипта к ним доступа нет. Однако он и не нужен. Отправляйте все запросы с credentials: "include" и значение автоматически будет присутствовать в заголовке Cookie..

По поводу джанго и что там с CORS ничего не скажу, но если ты используешь @vue/cli или просто webpack для разработки фронта на той же машине, это решается удобно на стороне devServer прописыванием proxy, который собственно прозрачно проксирует все запросы к бэку куда укажешь, без дополнительной настройки сервера.

Не смог нагуглить Access-Control-Allow-Origin? Попробуй ещё раз.
Нельзя слать запросы на чужой сайт, если тот явно этого не разрешает через вышеуказанный заголовок. Иначе любой рандомный сайт списал бы все твои денежки со всех твоих банк-клиентов.

CORS влияет на работу в скриптах, файлы могут подключаться в своём теге любые.

Например, первую загруженную картинку ты можешь в скрипте положить в canvas и разобрать на пиксели, а со второй безопасность тебе так сделать не даст.