На чьей стороне проблема с JWT авторизацией и CORS?

Если я не через XMLHTTPRequest попробую это сделать - это может изменить ситуацию? Или может какие дополнительные заголовки ему послать?
Сейчас заголовки такие:

xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');

Дмитрий, нет, CORS -- это механизм встроенный в браузер, на уровне фронтового js его не обойти. При создании любого запроса со страницы, браузер так же пошлёт OPTIONS запрос к серверу, и если не получит ответ 200 + Access-Control-Allow-Origin заголовок, заблокирует запрос. Самый реалистичный и разумный способ обойти это, при отсутствии доступа к интересующему серверу, - проксировать запросы через свой бэкенд, для которого разрешить кросс-доменные запросы. Т.е. запрос с localhost:3000 идёт, допустим, на localhost:3001/target_url, который проксирует запрос на blablabla.ru/target_url

Дмитрий, читать до просветления