アバターyakumo

フロントエンドからでもバックエンドからでもトークンの取得は可能かと思います。
ただしフロントエンドの場合、パブリッククライアントとなると思われるので Implicit Grant の利用となると思われますが、セキュリティ的には deprecated なのでご注意ください。
こちらに関しては OAuth 2.0 を勉強いただければと思います。

本題ですが CORS エラーは誰が出していますか?
freee ではなく作られているアプリケーションのプラットフォームが出している気がします。
そのため、利用中のライブラリ等のサポートになるかもしれません。

具体的なリクエストとレスポンス(ヘッダーを含む)をいただけると判断できるかもしれません。

そのさい、
* 事業所ID
* (クライアントID)
* クライアントシークレット
など事業所・アプリを特定しうる情報はマスクしてください。