Für ein Projekt untersuche ich verschiedene HTML5- und Javascript-Elemente und deren Sicherheit und versuche gerade, mich mit CORS vertraut zu machen.

Basierend auf meinen Tests, wenn ich entferne ..

<?php
 header("Access-Control-Allow-Origin: *"); 
 header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
 ?>

Auf der Seite, auf die zugegriffen werden soll, wird im Konsolenprotokoll von Chrome Folgendes angezeigt:

XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.

Ich verstehe das als richtig, aber Wireshark zeigt in der Rückgabe HTTP / 1.1 200 OK und in den Daten die Quelle der angeforderten Seite. Ist es also nur der Browser und Javascript, die die Verwendung von responseText blockieren, obwohl es tatsächlich übertragen wird?

Der Code ist wie folgt:

  function makeXMLRequest() {
  xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState==4) {
        alert(xmlhttp.responseText);
    }
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}

Danke im Voraus.