Resulta que la especificación de CORS, por seguridad, no permite usar Access-Control-Allow-Origin: * y Access-Control-Allow-Credentials: true al mismo tiempo, que es lo que estás intentando hacer.

Simplemente cambia el asterisco por el host que estés usando. En tu caso:


Cuando lo pruebes con un dominio real, no te olvides de cambiarlo por el dominio real.