Ah, uma dúvida: A requisição que gerou este erro foi feita a partir de um navegador? Porque é muito estranho que o HTTP_ORIGIN não esteja presente, pois o navegador sempre envia este cabeçalho sem a gente precisar fazer nada.
Respondendo a "Sim, ao adicionar o código acima não muda nada,..." dentro da publicação Como contornar as restrições de CORS em solicitações entre domínios? (com proxy)
1