Проблема решена. Как оказалось запрос нужно было отправить с параметром withCredentials, только установить значение false и не посылать в заголовке никакие значения access-control-allow.
ЗЫ: Видимо это ввели не так давно, потому что неделю назад запросы проходили без этого параметра. В связи с этим снова БОЛЬШОЙ вопрос к разработчикам и документации. Как вы вообще так работаете???