Ja, das funktioniert. Das habe ich in einer ähnlichen Situation auch schon mal so gemacht.
So wie du es vor hast, geht es, es ist aber ziemlich unsicher. Du solltest den Header "Access-Control-Allow-Origin" stattdessen explizit nur für die Domain setzen. Hierfür gibt es einen kleinen Trick. Du liest bei den Request den Origin-Header aus und gleichst ihn mit einer Rewrite-Map ab. Der Client sendet den Origin-Header ja bei deinen AJAX-Anfragen mit. In der Rewrite-Map hast du dann ein Key-Value-Paar für deine Domain. Der Trick ist, dass Key und Value exakt gleich sind. Wenn der ausgelesene Origin-Header zum Key passt, dann wird der Value in den Access-Control-Allow-Origin-Header der Response geschrieben. Wenn es keinen Eintrag in der Rewrite-Map gibt - die Domain also nicht von die legitimiert ist - dann wird der Access-Control-Allow-Origin-Header nicht gesetzt und der CORS-Schutz greift. So kannst du besser und sicherer Steuern, welche Domains für CORS zulässig sind.
Bewirbst du dich ausschließlich bei Firmen, die ausschreiben? Vllt mal auch die kleineren Firmen anschauen und eine initiativbewerbung hinschicken.
Ich war auch nicht der beste in Mathe, weil mir nie klar war warum ich das genau ausrechnen soll aber als Anwendungsentwickler habe ich hier und da Matheprobleme, bei denen mir Schulmathe die Erarbeitung der Lösung geholfen hätte. Wenn man weiß wofür, fällt es einem nicht schwer.