Поскольку использовать JSONP в теге сценария для получения данных из другого домена просто, не следует ли разрешить XMLHttpRequest делать это также? Бессмысленно утверждать, что это усиливает безопасность, когда это можно обойти, хотя и с более запутанной семантикой.