CORS リクエストでこれらの API 認証情報を使用するのは避けるべきです。そのため、そのヘッダーフィールドは許可されていません。
ただし、CORS においては user-api ヘッダーは許可されています。