Access to XMLHttpRequest at 'https://myvw-gvf-proxy-prod.apps.mega.cariad.cloud/vehicleData/de-DE/1852022AP7XXX' from origin 'https://www.volkswagen.de' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
Ob da vielleicht VW einfach schlechten/unsicheren Code generiert, der dann im Browser schlicht geblockt wird?
Edit: je länger ich mir die console des Browsers anschaue, desto sicherer bin ich mir, das VW uns die Daten nicht vorenthalten will, sondern die Präsentation nur nicht hin bekommt. Ändert zwar nichts an der Tatsache, dass wir nix sehen, aber macht es zumindest plausibel, warum es mal geht und mal nicht.
Zu deinem Edit:
Gute Idee mit CORS.
Hab es gerade mit Chrome und komplett deaktiviertem CORS getestet.
Dann bekomm ich einen 401 Auth required Fehler.
Liegt also vermutlich wirklich eher daran, dass die "einfachen" User keine Rechte mehr haben, die Daten zu sehen.
Dass das als CORS-Fehler dargestellt wird, hängt vermutlich mit dem Tooling von VW zusammen.
War mal ein schnellschuss. Vielleicht hat jemand aber nochmal mehr Ahnung davon und kann mehr raus finden.