На счет "по умолчанию пропускает все запросы" я бы очень засомневался, обычно, требования безопасности у всех веб-приложений говорит о том, что все cross domain запросы будут заблокированы, до тех пор, пока программист на бэкэ ручками не проставит разрешение на получение cross domain запроса с определенного хоста.
Плюс к этому, на каждый session id будет геренерится response от сервера, в котором указан только лишь 1 домен. В Вашем случае их более одного, что неверно.
И насколько я помню, нельзя выставлять wildcard на Access-Control-Allow-Origin header, а у вас стоит *.
Скажите своему разработчику, если он хочет разрешить все запросы с любого домена, то можно сделать примерно следующее:
HttpServletResponse.addHeader("Access-Control-Allow-Origin", HttpServletRequest.getHeader("Origin")); - это будет замена для wildcard типа *