Для проекта ясмотрю на различные элементы HTML5 и Javascript и безопасность вокруг них, и яя сейчас пытаюсь разобраться в CORS.

На основании моего тестирования, если я удалю ..

... со страницы, к которой пытаются получить доступ, я вижу следующее в журнале консоли в Chrome:

XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.

Я понимаю, что это правильно, однако Wireshark показывает HTTP / 1.1 200 OK в ответе и в данных показывает источник запрашиваемой страницы. Так что это всего лишь браузер и Javascript, которые блокируют использование responseText каким-либо существенным способом, даже если он 'на самом деле переданы?

Код такой же, как показано ниже:

  function makeXMLRequest() {
  xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState==4) {
        alert(xmlhttp.responseText);
    }
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}

Заранее спасибо.