Сергей Соловьев

"Какой вид response лучше всего отправлять?"

Какой удобнее. Перед тем как код писать надо хотя бы подумать, в каком виде ответ ожидается/легче использовать.
OpenAPI для согласования API тебе в помощь

С другой стороны, если я отправляю DTO на фронт, то фронтер должен сопоставить свой класс с моим, наверное, это тоже проблематично при большом количестве полей

Есть готовые фреймворки для такого. Например, GraphQL - можно указать что конкретно тебе нужно.
Есть и другие, как OData. Либо можешь свой написать, чтобы клиент сам указывал поля, какие нужны.

Стоит ли вообще приводить response к массиву?

Нигде не видел подобного поведения. Если бы был пример ответа в таком формате, то мог бы сказать.
Если имеется ввиду вместо объекта - массив значений его полей, то это плохая затея.

Зачем везде возвращать IBaseResponse? В нем описание и статус код - они повторяют HTTP метод работы. Разницы между ними никакой. Это явное протекание абстракций.
Лучше сделать так:
1. В контроллере вызываешь GetProductById.
2. Если вернул null, то создаешь ответ 404 There is not product with this id
3. Если возникла ошибка - возвращаешь 500
4. В противном случае возвращаешь ответ

Не смешивай логику и представление

Ты используешь [Authorize] атрибут из фреймворка для авторизации, но при этом не следуешь правилам, чтобы фреймворк понял, что клиент авторизован. Как минимум - откуда он узнает, что токен для авторизации находится именно в куках с именем token?

В HttpContext есть метод SignInAsync. Этот токен нужно передавать туда, а не в куки. Дополнительно, нужно правильно настроить процесс авторизации.

Держи туториал по JWT авторизации

if (token is not null)
     {
         _httpClient.DefaultRequestHeaders.Add("Accept", "application/json");
         _httpClient.DefaultRequestHeaders.Add("Authorization", "Bearer " + token);
     }

- Этот код не имеет смысла, так как заголовок выставляется для созданного _httpClient, а не в запросе (дополнительно, Middleware - синглтон, а _httpClient у тебя один, он не может делать параллельные запросы)

resultString.AppendLine($"<button role=\"button\" class=\"sendBtn\"><a href=\"www.siteadress/api/reports/{serializedIngedientsList}\" style=\"text-decoration: none; color: #000000\"> Отчёт </a></button>");

Вот здесь не тупая конкатенация должна быть.
Во первых, URL строки должны экранироваться.
Во вторых, здесь ты передаешь через путь, а надо через запрос (то что после ? идет).
В третьих, если передавать через путь, то там не JSON, а собственная структура для сериализации.

Почитай метанит

1) Может у вас прокси стоит, который заголовки удаляет?

Логи говорят, что невозможно выполнить согласование контента (content negotiation).

2) Попробуйте вручную зарегистировать Json форматтер для запросов первым с списке.

В списке первым стоит `Microsoft.AspNetCore.Mvc.Formatters.HttpNoContentOutputFormatter`. Не работал с ним, но название говорит, что это какой-то Fallback класс, который просто скипает запрос