Я думаю, что браузер добавляет заголовок контроля доступа к запросу.Проверьте следующее
1) Когда вы нажмете от почтальона или других таких клиентов API, этот API должен работать должным образом.(даже curl в порядке)
2) Попробуйте добавить Access-Control-Allow-Origin в качестве * для этого запроса на сервере и посмотрите, работает ли он.