Sora

これは関係あるんやろうか？ない気がするけど、本間に詰まったらここ調べよ。
<blockquote>
Access-Control-Allow-Headers "X-Requested-With, Origin, X-Csrftoken, Content-Type, Accept" // この辺は使うフレームワークにより異なるが許可するヘッダーを定義しておく。
</blockquote>

てことは今originにdomainを明示指定してることは正しいと。
<blockquote>
資格情報を含むリクエストに対するレスポンスの時、サーバーは Access-Control-Allow-Origin ヘッダーで "*" ワイルドカードではなくオリジンを指定しなければなりません。
</blockquote>

CORS errorでたとき、<a href="https://qiita.com/y_tochukaso/items/78972e0e2917bb11fa10" target="_blank" rel="nofollow noopener noreferrer">クロスサイトでCookieが設定できない場合に確認すること</a>を参考にしたら解決できた。
TL;DR 
<img src="https://storage.googleapis.com/zenn-user-upload/79d276fb4a9b7754d87f1609.png" alt="" loading="lazy" class="md-img">
その他詳しく知りたければ（知るべき）MDNのSet-CookieなどのCookie関連の記事を読むと良い。