Нужно задавать правильные заголовки в ответе сервера для того, чтобы кросс-доменные запросы работали и мы имели доступ к контенту, который присылает сервер. Вот выжимка заголовков:
// Нет авторизации
Access-Control-Allow-Origin: *
// Нужна авторизация, помним, что обязателен https на сервере и клиенте
Access-Control-Allow-Origin:
https://example.ru
Access-Control-Allow-Credentials: true
// Нужен доступ к заголовкам ответа
Access-Control-Expose-Headers: *