Заголовки CORS отправляются на ALLOW запрашивающий скрипт для доступа к содержимому.
Википедия отправляет CORS, а не YOU.
На странице, которую вы указали:
API MediaWiki также требует, чтобы источник был предоставлен в качестве параметра запроса, соответствующим образом названного «origin», который сопоставляется с заголовком Origin, требуемым протоколом CORS. Обратите внимание, что этот заголовок должен быть включен в любой запрос перед полетом и поэтому должен быть включен в часть строки запроса URI запроса даже для запросов POST.
Если проверка происхождения CORS проходит, MediaWiki будет включать в ответном ответе: «Ответ на запрос прав доступа: истинный заголовок», поэтому могут быть отправлены файлы cookie аутентификации.
blockquote>Это означает, что вы должны отправить заголовок
Origin
, чтобы сообщить wikipedia, где вы находитесь приходящий из.Отправить этот исходный заголовок:
xhr.setRequestHeader("Origin", "http://www.yourpage.com");
Access-Control-Allow-*
заголовки - это заголовки ответов, а не заголовки запросов.Википедии дополнительно требуется тип содержимого json:
xhr.setRequestHeader("Content-Type", "application/json; charset=UTF-8");