Entendiendo XMLHttpRequest sobre CORS (responseText)
Para un proyecto, estoy viendo varios elementos de HTML5 y Javascript y la seguridad en torno a ellos y estoy tratando de entender a CORS ahora.
Basado en mi prueba, si quito ..
<?php
header("Access-Control-Allow-Origin: *");
header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
?>
..desde la página a la que se intenta acceder, veo lo siguiente en el registro de la consola en Chrome:
XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.
Entiendo que esto es correcto, sin embargo, Wireshark muestra HTTP / 1.1 200 OK en la declaración y en los datos muestra el origen de la página solicitada. Entonces, ¿es solo el navegador y Javascript los que bloquean el uso de responseText de alguna manera sustancial a pesar de que en realidad se transfiere?
El código es el siguiente:
function makeXMLRequest() {
xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
if (xmlhttp.readyState==4) {
alert(xmlhttp.responseText);
}
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}
Gracias por adelantado.