XMLHttpRequests requieren que CORS funcione entre dominios. De manera similar para fuentes web, texturas WebGL y algunas otras cosas. En general, todas las API nuevas parecen tener esta restricción.

¿Por qué

Es tan fácil de eludir: todo lo que se necesita es un simple proxy del lado del servidor. En otras palabras, el código del lado del servidor no tiene prohibido realizar solicitudes entre dominios; ¿Por qué es el código del lado del cliente? ¿Cómo le da esto seguridad a alguien?

Y es tan inconsistente: no puedoXMLHttpRequest, pero yo puedo<script src> o<link rel> o<img src> o<iframe>. ¿Qué logra incluso restringir XHR, etc.?