Para um projeto eu estou olhando para vários elementos HTML5 e Javascript e segurança em torno deles e estou tentando me dar bem com o CORS agora.

Com base nos meus testes, se eu remover ...

<?php
 header("Access-Control-Allow-Origin: *"); 
 header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
 ?>

..a partir da página que está tentando ser acessada, vejo o seguinte no log do console no Chrome:

XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.

Eu entendo isso para ser correto, no entanto Wireshark mostra HTTP / 1.1 200 OK no retorno e nos dados mostra a origem da página que está sendo solicitada. Então, é apenas o navegador e o Javascript que estão impedindo que o responseText seja usado de forma substancial, mesmo que ele seja realmente transferido?

O código é como abaixo:

  function makeXMLRequest() {
  xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState==4) {
        alert(xmlhttp.responseText);
    }
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}

Desde já, obrigado.