Какова цель ограничений перекрестного домена XHR?

Мне всегда было интересно, какова цель кросс-доменных ограничений XHR.

Похоже, цель состоит в том, чтобы помешать злонамеренно внедренному Javascript отправлять личные данные злоумышленнику. Однако отправка данных в любой домен легко возможна с помощью введенного тега script или img (или любого другого внешнего ресурса в этом отношении).