在CORS（跨域资源共享）策略中，如果请求中包含凭据（如Cookie、HTTP认证或TLS客户端证书等），则不允许使用通配符“*”作为域的值。这是为了保护用户的敏感信息不被恶意网站访问到。

解决方法是使用具体的域名替代通配符“*”，并设置Access-Control-Allow-Origin头信息来允许跨域请求。同时，也需要将Access-Control-Allow-Credentials头信息设置为true，以允许带有凭据的请求。

以下是一个示例代码，使用Node.js和Express框架来设置CORS策略：

const express = require('express');
const app = express();

app.use((req, res, next) => {
  // 设置允许跨域的域名，可以是具体的域名或使用正则表达式匹配
  res.header('Access-Control-Allow-Origin', 'https://example.com');
  // 设置允许请求携带凭据
  res.header('Access-Control-Allow-Credentials', 'true');
  // 设置允许的请求方法
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  // 设置允许的请求头
  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');

  // 如果是预检请求（OPTIONS），直接返回200
  if (req.method === 'OPTIONS') {
    res.sendStatus(200);
  } else {
    next();
  }
});

// 处理实际的请求
app.get('/api/data', (req, res) => {
  // 在这里处理实际的请求逻辑
  res.json({ message: 'Hello, World!' });
});

app.listen(3000, () => {
  console.log('Server started on port 3000');
});

在上面的示例中，我们设置了允许跨域请求的域名为https://example.com，同时设置了Access-Control-Allow-Credentials头信息为true。在处理预检请求（OPTIONS）时，直接返回200状态码。实际的请求处理逻辑在/api/data路由中处理。

请确保将https://example.com替换为您实际允许跨域请求的域名。

注意：如果您使用的是其他的后端框架或语言，设置CORS策略的方式可能有所不同。以上示例仅供参考。