127.0.0.1
http://127.0.0.1:5500 и api.tvoe.live — разные сайты (не same-site)token для tvoe.live в таком запросе — third-party cookieAccess-Control-Allow-Origin: null в JS — не баг: браузер не отдаёт CORS-заголовки в response.headers, но тело ответа вы всё равно прочитали → CORS открытСначала проверьте логин на самом tvoe.live (шаг 1 ниже). Если там 200 — сессия есть, PoC с localhost упирается в блокировку 3rd-party cookies, а не в «всё безопасно».
Только авторизованный пентест. Origin: → https://api.tvoe.live
fetch('https://api.tvoe.live/profile', { credentials: 'include' })
.then(r => r.json())
.then(d => console.log('profile:', d))
.catch(e => console.error(e));
Ожидание: объект профиля (не «Не удалось получить токен»). Это same-site запрос (tvoe.live → api.tvoe.live), cookie уходит.
Нажмите кнопку…