Мне всегда было интересно, какова цель кросс-доменных ограничений XHR.
Похоже, цель состоит в том, чтобы помешать злонамеренно внедренному Javascript отправлять личные данные злоумышленнику. Однако отправка данных в любой домен легко возможна с помощью введенного тега script
или img
(или любого другого внешнего ресурса в этом отношении).