Cors solo funciona para solicitudes ajax, no para solicitudes http directas. Antes de emitir la solicitud GET en una solicitud ajax, se emite una solicitud OPTIONS para determinar si proviene de un dominio válido. Si viola la política de CORS, la solicitud GET nunca se emite. Esto no sucede si simplemente emite una solicitud de obtención directa. Una buena forma de probar es escribir un javascript que dispare una solicitud ajax y desplegarlo en un servidor que esté en un dominio diferente. Visite ese dominio, y vea si la llamada tiene éxito. Con el encabezado que mencionaste anteriormente, no lo hará.