Deadly CORS, когда http://localhost является источником

Я застрял с этой проблемой CORS, хотя я установил сервер (nginx/node.js ) с соответствующими заголовками.

Я вижу на панели Chrome Network -> Заголовки ответов:

Access-Control-Allow-Origin:http://localhost

, что должно сработать.

Вот код, который я сейчас использую для тестирования:

var xhr = new XMLHttpRequest();
xhr.onload = function() {
   console.log('xhr loaded');
};
xhr.open('GET', 'http://stackoverflow.com/');
xhr.send();

Я получаю

XMLHttpRequest cannot load http://stackoverflow.com/. Origin http://localhost is not allowed by Access-Control-Allow-Origin.

Я подозреваю, что проблема в клиентском скрипте, а не в конфигурации сервера...