у Вас стоит опция withCredentials: true - которая говорит браузеру, что Вы хотите отправлять куки стороннему ресурсу. В этом плане более строгая политика CORS:
1. заголовок ответа Access-Control-Allow-Origin не может быть вилдкард (*), сервер должен отвечать точным origin
2. должен присутствовать заголовок ответа Access-Control-Allow-Credentials: true
по итогу сервер должен ответить следующими заголовками:
Access-Control-Allow-Origin: {request.headers.Origin}
Access-Control-Allow-Methods: GET, OPTIONS, HEAD
Access-Control-Allow-Credentials: true
где {request.headers.Origin} - заголовок Origin из запроса
