Aparentemente, eu entendi completamente sua semântica. Eu pensei em algo assim:

Um cliente faz o download do código javascript MyCode.js de http: // siteA -a origem.O cabeçalho de resposta de MyCode.js contémAccess-Control-Allow-Origin: http: // siteB, o que eu pensei que significava que MyCode.js foi permitido fazer referências cruzadas para o site B.O cliente aciona algumas funcionalidades do MyCode.js, que, por sua vez, fazem solicitações para http: // siteB, que devem estar bem, apesar de serem solicitações de origem cruzada.

Bem, estou errado. Não funciona assim. Então eu liCompartilhamento de recursos de origem cruzada e tentou lerCompartilhamento de recursos de origem cruzada na recomendação do w3c

Uma coisa é certa - eu ainda não entendo como devo usar este cabeçalho.

Eu tenho controle total do site A e do site B. Como faço para ativar o código javascript baixado do site A para acessar recursos no site B usando este cabeçalho?

P.S.

Eu não quero utilizar o JSONP.