Para un proyecto, estoy viendo varios elementos de HTML5 y Javascript y la seguridad en torno a ellos y estoy tratando de entender a CORS ahora.

Basado en mi prueba, si quito ..

<?php
 header("Access-Control-Allow-Origin: *"); 
 header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
 ?>

..desde la página a la que se intenta acceder, veo lo siguiente en el registro de la consola en Chrome:

XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.

Entiendo que esto es correcto, sin embargo, Wireshark muestra HTTP / 1.1 200 OK en la declaración y en los datos muestra el origen de la página solicitada. Entonces, ¿es solo el navegador y Javascript los que bloquean el uso de responseText de alguna manera sustancial a pesar de que en realidad se transfiere?

El código es el siguiente:

  function makeXMLRequest() {
  xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState==4) {
        alert(xmlhttp.responseText);
    }
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}

Gracias por adelantado.