XMLHttpRequest
требует, чтобы CORS работал междоменно. То же самое для веб-шрифтов, текстур WebGL и некоторых других вещей. В общем, это ограничение есть у всех новых API.
Почему?
Это так легко обойти: все, что требуется, - это простой серверный прокси. Другими словами, серверному коду не запрещается выполнять междоменные запросы; почему код на стороне клиента? Как это дает хоть какую-то безопасность?
И это так непоследовательно: я не могу XMLHttpRequest
, но могу