Hallo Henry,

mit Apache kenne ich mich nicht so aus, aber mir fällt was anderes auf: http/https.

Das Protokoll gehört zum Origin der URL, d.h. wenn Du mit JavaScript von http://example.org aus etwas von https://examle.org lesen willst, ist das ein Cross-Origin Zugriff, der durch entsprechende CORS-Header genehmigt sein muss, damit der Browser ihn nicht verhindert.

Header set Access-Control-Allow-Origin  "*"

ist sozusagen der Freifahrtschein dafür.

HTTPS an sich sollte nicht so kritisch sein; von einer HTTP-Seite aus eine HTTPS-Ressource zu lesen ist erlaubt, von HTTPS aus HTTP zu Lesen hingegen nicht.

Access-Control-Allow-Methods brauchst Du nur für PUT, weil GET, POST und HEAD immer erlaubt sind (sagt MDN). Brauchst Du PUT? Machst Du fetch-Aufrufe mit PUT-Methode?

Rolf