要在Apache2服务器的每个响应中应用"Access-Control-Allow-Origin"头，除了XMLHttpRequest（XHR）请求，您可以使用以下代码示例：

Header always set Access-Control-Allow-Origin "*"
Header always unset Access-Control-Allow-Credentials

RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
RewriteCond %{REQUEST_URI} ^/api/ [NC]
RewriteCond %{REQUEST_METHOD} ^(GET|POST|PUT|DELETE)$ [NC]
RewriteCond %{HTTP:Origin} ^(http(s)?://.*\.example\.com)$ [NC]
RewriteRule .* - [E=HTTP_ORIGIN:%{HTTP:Origin}]
SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" HTTP_CORS_ORIGIN=$0
Header always set Access-Control-Allow-Origin %{HTTP_CORS_ORIGIN}e env=HTTP_CORS_ORIGIN

Header always set Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
Header always set Access-Control-Allow-Headers "Content-Type, Authorization, X-Requested-With"

# Disable caching for OPTIONS requests
Header always set Cache-Control "no-cache, no-store, must-revalidate" env=HTTP_CORS_ORIGIN
Header always set Pragma "no-cache" env=HTTP_CORS_ORIGIN
Header always Set Expires "0" env=HTTP_CORS_ORIGIN

# Handle preflight requests
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]

上述代码将在每个响应中添加"Access-Control-Allow-Origin"头，并设置为"*"，允许来自任何域的请求。它还设置了其他一些常见的CORS头，以便支持各种类型的请求。

请注意，将"Access-Control-Allow-Origin"设置为"*"可能会导致安全性问题，因为它允许来自任何域的请求。在生产环境中，建议将其设置为实际请求的来源域。

此外，代码还处理了OPTIONS请求，以便正确处理预检请求。这是CORS规范的一部分，用于在实际请求之前发送一个OPTIONS请求以检查服务器是否支持跨域请求。

请将上述代码添加到您的Apache配置文件中，并重新启动Apache服务器以使更改生效。