コードのスクリーンショットを最初に見たとき、これを見落としていました。
mode: 'no-cors'
Angularアプリには詳しくありませんが、クライアントからDiscourseへの認証済みAPIリクエストを行おうとしているようです。Discourseのコードのどこで行われているかはわかりませんが、Discourseはクライアントから行われた管理APIリクエストをブロックすると理解しています。これは、APIキーをクライアントに公開せずにリクエストを行う方法がないためです。それに関連して、APIキーはすぐに変更する必要があります。