O campo de cabeçalho da solicitação Access-Control-Allow-Headers não é permitido por si só na resposta de comprovação
Eu me deparei com problemas do CORS várias vezes e geralmente posso corrigi-lo, mas quero realmente entender vendo isso de um paradigma de pilha do MEAN. Antes, eu simplesmente adicionava o middleware no meu servidor expresso para capturar essas coisas, mas parece que há algum tipo de pré-gancho...