Lynn «Кофеман»

Никак. Сделать https

Добавить в add_header флаг always.

https://nginx.org/ru/docs/http/ngx_http_headers_mo...

Никак, если сайт не разрешит. Именно от таких случаев и сделана защита CORS.

P.S. exAmple

Он приходит, но к нему нельзя получить доступ из JS, т.к. заголовок Set-Cookie входит в список запрещённых.

https://developer.mozilla.org/en-US/docs/Web/API/H...

For security reasons, some headers can only be controlled by the user agent. These headers include the forbidden header names and forbidden response header names.

https://developer.mozilla.org/en-US/docs/Glossary/...

А вы хотите что бы я запросом на sber.ru перевёл все ваши деньги или запросом в vk.com выложил на вашей стене что-нибудь интересное?

В проксировании через бекенд нет моей авторизации в браузере и это самое главное

В ответе сервера должен быть заголовок Access-Control-Allow-Credentials

Cм. еще Requests with credentials

Important note: when responding to a credentialed request, server must specify a domain, and cannot use wild carding. The above example would fail if the header was wildcarded as: Access-Control-Allow-Origin: *.