開発時はfetchできるが、デプロイするとfetchできなくなる

いつもお世話になっております。

初めて、デプロイ、というものに挑戦しています。

react(firebaseに構築)から、express(herokuに構築)を経由して、mongodb(AtlasでAWSに構築)からデータをfetchできずに困っています。

切り分けのための情報として、

Postmanで、herokuのexpressにアクセスするとしっかりとれています。
また、localhostのreactからherokuのexpressにアクセスすることもできています。
firebaseのreactからのみ、herokuのexpressにfetchできていないです。

そこからcors関係が違うのではないかと考え、

app.js @express

js
1var createError = require('http-errors');
2var express = require('express');
3var path = require('path');
4var cookieParser = require('cookie-parser');
5var logger = require('morgan');
6var cors = require("cors");
7
8var indexRouter = require('./routes/index');
9var usersRouter = require('./routes/users');
10var big5db = require('./routes/big5db');
11var twitter = require('./routes/twitter');
12var cognition = require('./routes/cognition');
13
14var app = express();
15
16app.use(cors());
17
18
19//Reactからのリクエストを受け取るのに必要
20const allowCrossDomain = function(req, res, next) {
21  res.header('Access-Control-Allow-Origin', req.headers.origin)
22  res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE')
23  res.header(
24    'Access-Control-Allow-Headers',
25    'Content-Type, Authorization, access_token'
26  )
27
28  // intercept OPTIONS method
29  if ('OPTIONS' === req.method) {
30    res.send(200)
31  } else {
32    next()
33  }
34}
35app.use(allowCrossDomain)
36
37
38
39// view engine setup
40app.set('views', path.join(__dirname, 'views'));
41app.set('view engine', 'ejs');
42
43app.use(logger('dev'));
44app.use(express.json());
45app.use(express.urlencoded({ extended: false }));
46app.use(cookieParser());
47app.use(express.static(path.join(__dirname, 'public')));
48
49app.use('/', indexRouter);
50app.use('/users', usersRouter);
51app.use('/twitter', twitter);
52app.use('/big5db', big5db);
53app.use('/cognition', cognition);
54
55
56// catch 404 and forward to error handler
57app.use(function(req, res, next) {
58  next(createError(404));
59});
60
61// error handler
62app.use(function(err, req, res, next) {
63  // set locals, only providing error in development
64  res.locals.message = err.message;
65  res.locals.error = req.app.get('env') === 'development' ? err : {};
66
67  // render the error page
68  res.status(err.status || 500);
69  res.render('error');
70});
71
72module.exports = app;

のようにしましたが効果は見られませんでした。

safariで開くとエラーメッセージは、

[blocked] The page at https://XXXXXXX.web.app/rio was not allowed to display insecure content from http://localhost:5000/big5db/all.

と出た後に、

XMLHttpRequest cannot load http://localhost:5000/big5db/all due to access control checks.

と出ています。

検索したところ、https通信でないと、ブラウザにはじかれる、とあるのですが、heroku, firebase共にhttpsで通信しております。

XMLHttpRequestすなわちcorsについては、自分では対処したつもりです。
書き方は違うかもしれません。

以上のように、思い当たる節は当たったのですが、いよいよ手詰まりになっています。

どこが原因なのかもわからないため、どのファイルをあげれば良いかもわかっていないので、ご指摘いただければソースをあげます。

ぜひ、お力添え願いたいです。