XMLHttpRequest
требуют, чтобы CORS работал в междоменном режиме. Аналогично для веб-шрифтов, текстур WebGL и некоторых других вещей. В общем, все новые API, похоже, имеют это ограничение.
Почему?
Это так легко обойти: все, что требуется, это простой серверный прокси. Другими словами, серверный код не запрещается выполнять междоменные запросы; почему клиентский код? Как это дает какую-либо безопасность любому?
И это так непоследовательно: я не могу XMLHttpRequest
, но я могу <script src>
или <link rel>
или <img src>
или <iframe>
. Что делает ограничение XHR и т.д. Даже достигать?