Пишите в службу поддержки Яндекса, чтобы они починили CORS. Проблема тут в том, что они сначала проверяют авторизацию, а потом уже разбираются, что за метод был вызван. А браузер перед тем как сделать запрос с авторизацией, дёргает метод OPTIONS без авторизации, на что сервис должен вернуть заголовки разрешающие кроссдоменные запросы и авторизацию. И когда все нужные заголовки получены, уже дёргает GET с авторизацией. А postman плевать хотел на CORS, поэтому у него всё работает.
