OCTAGRAM

На первом снимке куки из таблицы принадлежат домену localhost, а междоменный запрос отправляется на узел что-то-там.cyclic.app. С этим запросом могут быть отправлены только куки от родного домена что-то-там.cyclic.app или наддомена (.cyclic.app)

Что просят, то и добавить.

CORS_ALLOW_HEADERS = ('content-disposition', 'accept-encoding',
                      'content-type', 'accept', 'origin', 'Authorization',
                      'access-control-allow-methods')

Может быть, просто localhost разрешить на сервере?

Для POST запроса нужно сначала положительно ответить на метод OPTIONS. Он нормально отрабатывает? В обычный роутер такой метод может не идти.

CORS не блокирует то, что можно было раньше, CORS разрешает то, что раньше было нельзя. Медиафайлы читать и раньше было можно.

На любом движке с HTTP-сервером и клиентом такое делается. Я адаист, вот на Аде и сделал.

mode: 'no-cors',
Убирайте

ВКонтакте такого разрешения не давал, вот и всё.

Разрешение у ВКонтакте получить гипотетически можно, регистрируясь как разработчик, создав новое приложение, получив API ключ и указав домен, откуда из браузера будут идти запросы. Практически на каком-то этапе всё же может потребоваться свой сервер

Я бы просто кукис в домене «.имя.домена» использовал. Такие кукисы, с точкой в начале, действуют во всём домене с поддоменами. Другой вариант — подгружаем с поддомена динамический скрипт в домене. Генератор скрипта видит содержимое сессии и генерит скрипт, который покажет или скроет кнопки.

Пожалуйста, обратите внимание: в Access-Control-Allow-Origin запрещено использовать звёздочку * для запросов с авторизационными данными. Там должен быть именно источник, как показано выше. Это дополнительная мера безопасности, чтобы гарантировать, что сервер действительно знает, кому он доверяет делать такие запросы.

Что ставить при запросе, это вам решать. Что должно пройти через бутылочное горлышко, то и отправлять.

Больше зависит от сервера. Если запрос GET, то сервер должен посмотреть, а нет ли в запросе заголовка Origin: http[s]://localhost[:порт] (без / на конце), и если да, то отзеркалить его в Access-Control-Allow-Origin. Если CORS запросы могут поступать с единственного Origin, то можно всем без разбору ставить заголовок Access-Control-Allow-Origin: http[s]://localhost[:порт]

Для GET этого может быть уже достаточно.

Для POST и других методов уже надо реализовать OPTIONS, отвечая 204 с заголовками Access-Control-Allow-Origin и Access-Control-Allow-Methods, а потом в ответе на сам POST тоже эти заголовки предоставлять.

Для разрешения отправления нестандартных заголовков запроса нужен Access-Control-Request-Headers, а для разрешения чтения — Access-Control-Expose-Headers