Удалить эту строку:
xhr.setRequestHeader("Content-Type", "application/json");
В этом нет необходимости, поскольку в GET
запросах нет содержимого (JSON находится в ответе ). И это вызывает ошибку проверки CORS.
Если вы хотите указать, что ожидаете только ответ JSON, используйте:
xhr.setRequestHeader("Accept", "application/json");