Magento CORS error (Access-Control-Allow-Origin)

https://absolutecommerce.co.uk/blog/cors-in-magento-2

/etc/nginx/magento2-cors.conf
add_header 'Access-Control-Allow-Origin' '*' 'always'; 

if ($request_method = 'OPTIONS') { 

  add_header 'Access-Control-Allow-Origin' '*' 'always'; 

  add_header 'Access-Control-Allow-Headers' 'x-requested-with' 'always'; 

  add_header 'Access-Control-Max-Age' 86400 'always'; 

  add_header 'Content-Length' 0 'always'; return 204; 

}

location /static/ { 

  location ~* \.(ico|jpg|jpeg|png|gif|svg|js|css|swf|eot|ttf|otf|woff|woff2)$ { 

    add_header X-Frame-Options "SAMEORIGIN"; 

    include /etc/nginx/magento2-cors.conf; 

  } 

  location ~* \.(zip|gz|gzip|bz2|csv|xml)$ { 

    add_header X-Frame-Options "SAMEORIGIN"; 

    include /etc/nginx/magento2-cors.conf; 

  } 

  add_header X-Frame-Options "SAMEORIGIN"; 

  include /etc/nginx/magento2-cors.conf; 

}

explanation CORS:

https://qna.habr.com/q/596375

Header Access-Control-Allow-* - это заголовки ответа, их должен отправлять сервер в ответ на запрос. 

Если запрос OPTIONS (браузер шлет сам перед основным запросом для проверки прав), то сервер должен так же ответить этими заголовками, но со статусом 204 и без тела
с клиента должен быть только заголовок Origin (откуда пришел запрос), если клиент в браузере, то браузер сам его отправит (X-Requested-With кстати тоже сам отправит)
а эти:
"Access-Control-Allow-Origin": "*",
"Access-Control-Allow-Methods" : "GET,POST,PUT,DELETE,OPTIONS",
"Access-Control-Allow-Headers": "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With"
должны быть с сервера, притом из Access-Control-Allow-Headers можно смело убрать Access-Control-Allow-Headers и X-Requested-With (первый Вы и не должны отправлять, а второй разрешен по умолчанию)