W przypadku projektu przyglądam się różnym elementom HTML5 i Javascript oraz bezpieczeństwu wokół nich i próbuję teraz skupić się na CORS.

Na podstawie moich testów, jeśli usunę ..

<?php
 header("Access-Control-Allow-Origin: *"); 
 header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
 ?>

.. ze strony, do której próbujesz uzyskać dostęp, widzę następujące informacje w dzienniku konsoli w Chrome:

XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.

Rozumiem, że jest to poprawne, jednak Wireshark pokazuje HTTP / 1.1 200 OK w zamian, aw danych pokazuje źródło żądanej strony. Czy więc tylko przeglądarka i Javascript blokują korzystanie z funkcji responseText w żaden znaczący sposób, mimo że są one rzeczywiście przekazywane?

Kod jest taki jak poniżej:

  function makeXMLRequest() {
  xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState==4) {
        alert(xmlhttp.responseText);
    }
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}

Z góry dziękuję.