Проблема в том, что вы пытаетесь сделать кросс-доменный запрос, к тому же небезопасный (не являющийся GET или простым POST). Вероятно, это из-за того, что вы указали Content-Type.
Для того, чтобы такой запрос мог быть сделан браузером, сервер должен уметь обрабатывать запрос OPTIONS, отвечая на него корректным заголовком Access-Control-Allow-Headers (ну и Access-Control-Allow-Origin, конечно же).
По запросу "wcf rest options request" в гугле первая же ссылка ведет на вот это
вот это. Не самое аккуратное решение (я бы лучше повесил обработку запроса OPTIONS и выдачу заголовков CORS на какой-нибудь атрибут уровня класса) - но и оно сойдет.
PS осторожнее с этим решением - фактически, оно выключает защиту от CORS. Не следует держать приватное API и "обычные" веб-страницы в одном проекте с публичным API.