我有一个后端服务器https://b.com和一个客户端服务器https://a.com。我想从a.com向b.com发出经过验证 AJAX 请求。
在发出请求之前，用户将转到b.com并登录。会话cookie将存储在浏览器中，并带有HttpOnly、Secure和SameSite=None选项。
a.com上的fetch()请求是从具有type="module"的脚本发出的

const res = await fetch("https://b.com", {
  headers: { "Accept": "application/json" },
  credentials: "include",
});

后端返回一个带有适当CORS头的响应。即

access-control-allow-credentials: true
access-control-allow-methods: GET
access-control-allow-origin: https://a.com

尽管如此，会话cookie没有包含在fetch()请求中，因此身份验证不起作用。
我错过了什么？