Todos los navegadores modernos son compatibles con CORS y de ahora en adelante debemos aprovechar esta adición.
Funciona en la técnica de handshaking simple donde los dos dominios se comunican mutuamente por medio de encabezados HTTP enviados/recibidos. Esto fue esperado ya que la misma política de origen era necesaria para evitar XSS y otros intentos maliciosos.
Para iniciar una solicitud de origen cruzado, un navegador envía la solicitud con un encabezado HTTP de origen. El valor de este encabezado es el sitio que sirvió a la página. Por ejemplo, supongamos que una página en http://www.example-social-network.com intenta acceder a los datos de un usuario en online-personal-calendar.com. Si el navegador del usuario implementa CORS, el siguiente encabezado de la solicitud sería enviado:
Origen: http://www.example-social-network.com
Si online-personal-calendar.com permite la solicitud, envía un encabezado Access-Control-Allow-Origin en su respuesta. El valor del encabezado indica qué sitios de origen están permitidos. Por ejemplo, una respuesta a la petición anterior contendría lo siguiente:
Access-Control-Allow-Origen: http://www.example-social-network.com
Si el servidor no permite la solicitud de origen cruzado, el navegador entregará un error página example-social-network.com en lugar de la respuesta online-personal-calendar.com.
para permitir el acceso a todas las páginas, un servidor puede enviar la siguiente cabecera de respuesta:
Access-Control-Allow-Origen: *
Sin embargo, esto podría no ser apropiada para situaciones en las que la seguridad es una preocupación.
Muy bien explicado aquí en la página siguiente de la wiki. http://en.wikipedia.org/wiki/Cross-origin_resource_sharing
Probablemente no. Estos son dos nombres de dominio diferentes, por lo que la solicitud entre dominios queda bloqueada por los navegadores. –