Cors funziona solo per richieste Ajax, non per richieste http dirette. Prima che la richiesta GET venga emessa in una richiesta Ajax, viene emessa una richiesta OPTIONS per determinare se proviene da un dominio valido. Se viola la politica CORS, la richiesta GET non viene mai emessa. Questo non succede se si emette una richiesta di ottenere direttamente. Un buon modo per testare è scrivere un javascript che spara da una richiesta Ajax e distribuirlo su un server che si trova su un dominio diverso. Visita quel dominio e verifica se la chiamata ha esito positivo. Con l'intestazione che hai elencato sopra, non lo farà.