TsyklopХрень в том что cors не настроен на загрузку скрипта, а только на ajax запросы. А в Network видно что куки того домена идут при загрузке скрипта. в AJAX я не ставлю куков никаких.
Так и CORS тут не при чем. CORS лишь разрешает отправлять запросы из страницы загруженной с другого домена. А когда запрос идёт на chat2help.com то там идут и все куки связанные с этим доменом. Не зависимо от того включен у вас CORS на сервере или нет, браузер всё равно попытается отправить.

TsyklopBlazkowicz,

какие варианты решения такой проблемы есть?
https://stackoverflow.com/questions/2829201/prevent-cookies-from-being-sent-on-ajax-request
Можно завести поддомен, к которому эти куки не походят.
Можно написать скрипт, который удаляет куку перед запросом, а потом возвращает на место.

Tsyklop,

Можно ещё поизучать сами куки:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie
HttpOnly или Path
Я бы попробовал HttpOnly установить этой куке

Tsyklopтак кука же ставится не при ajax, а когда скрипт загружается.
Да, нет же. Когда на сайт chat2help.com заходишь там в отлике такие заголовки




Попробуйте починить сайт чтобы в Set-Cookie был параметр HttpOnly.

TsyklopTsyklop,

А нет. передаются куки.
Удалите куки из браузера и почистите кеш.

Tsyklopпочистил кеш, убрал куки. Теперь при загрузке js куки не передаются, но в ответ от сервера теперь приходит кука такая же как и основном домене
В ответе AJAX запроса есть заголовок Set-Cookie? Ну, сделайте чтобы его не было. Ваш же сервер.

Tsyklopа AJAX причем?
Set-Cookie ставятся в ответ на загрузку скрипта браузером. И сервер ставит куку сессии. а вот почему - вопрос.
Ну, ни AJAX. Вы же не можете понятно объяснить. Приходиться догадаваться.
https://stackoverflow.com/questions/2884065/java-tomcat-how-to-configure-a-cookieless-subdomain-to-serve-static-content
Нужно разделить либо на поддомены либо контексты, чтобы одни адреса вызываели Set-Cookie, а другие - нет.