Solución:
Está configurando CORS dos veces. Creo que ese es el problema.
Elimine cualquier configuración de CORS. Puede eliminarlo de web.config o de WebApiConfigFile.cs.
Chrome y Firefox usan lo que se llama una verificación previa al vuelo usando el verbo “OPCIONES”.
Por lo tanto, debe agregar “OPCIONES” a los métodos permitidos en web.config. También es posible que deba agregar algo de código a la solicitud Application_Begin, como sugiere esta respuesta: Manejo de solicitudes CORS Preflight para acciones ASP.NET MVC
A continuación, se muestran algunos recursos para CORS:
IIS secuestra la solicitud de OPCIONES de verificación previa de CORS
http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api
Todas las demás soluciones proporcionadas para webAPI. Esta solución es para cuando usa un servicio web (.asmx) como API
Elimine los detalles de ‘Access-Control-Allow-Origin’ de cualquiera de los Global.asax.cs archivo begin_request función o en web.config. Porque esta configuración debe estar en un solo lugar