Почему браузеры применяют одну и ту же политику происхождения к XMLHttpRequest? Это действительно неудобно для разработчиков, но кажется, что он мало что делает, фактически останавливая хакеров. Есть обходные пути, они могут по-прежнему включать javascript из внешних источников (власть за JSONP).
Это похоже на устаревшую "функцию" в сети, которая в значительной степени взаимосвязана.