Então cara, isso ai é um problema de CORS. O CORS existe por medidas de segurança, basicamente você passa na sua API quem que pode acessar. Para resolver esse erro ai, basta habilitar o CORS na sua api. Se estiver somente testando, coloque para o CORS aceitar qualquer origem. Se for em produção, passa o link do client na origem.
No Express para você habilitar o cors, adiciona isso aqui no seu arquivo principal:
app.use(cors())
Não se esqueça de baixar a lib do cors (npm i cors) e importar o cors.
Recomendo dar uma lida [nesse artigo aqui] (https://expressjs.com/en/resources/middleware/cors.html)