Hemos agregado Access-Control-Allow-Origin: *.domain.com y puedo ver esto en el encabezado de respuesta. Pero, ¿cómo puedo asegurarme de que esto se implemente de la manera correcta?
Cuando modifico Origin o Referer sigo recibiendo respuesta para la solicitud.
Cors solo funciona para solicitudes ajax, no para solicitudes http directas. Antes de emitir la solicitud GET en una solicitud ajax, se emite una solicitud OPTIONS para determinar si proviene de un dominio válido. Si viola la política de CORS, la solicitud GET nunca se emite. Esto no sucede si simplemente emite una solicitud de obtención directa. Una buena forma de probar es escribir un javascript que dispare una solicitud ajax y desplegarlo en un servidor que esté en un dominio diferente. Visite ese dominio, y vea si la llamada tiene éxito. Con el encabezado que mencionaste anteriormente, no lo hará.
Lea otras preguntas en las etiquetas cors