Realmente no deberías usar estas credenciales de API para solicitudes CORS, por lo que ese campo de encabezado no está permitido.
Sin embargo, sí permitimos los encabezados de user-api en CORS: