对于一个项目，我正在研究各种 HTML5 和 Javascript 元素以及它们周围的安全性，我现在正试图了解 CORS。

根据我的测试，如果我删除..

<?php
 header("Access-Control-Allow-Origin: *"); 
 header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
 ?>

..从尝试访问的页面中，我在 Chrome 的控制台日志中看到以下内容：

XMLHttpRequest cannot load http://www.bla.com/index.php. Origin http://bla2.com is not allowed by Access-Control-Allow-Origin.

我理解这是正确的，但是 Wireshark 在返回中显示 HTTP/1.1 200 OK，并且在数据中显示所请求页面的来源。那么是否只是浏览器和 Javascript 阻止了 responseText 以任何实质性方式使用，即使它实际上已被传输？

代码如下：

  function makeXMLRequest() {
  xmlhttp=new XMLHttpRequest();
xmlhttp.onreadystatechange = function() {
    if (xmlhttp.readyState==4) {
        alert(xmlhttp.responseText);
    }
}
xmlhttp.open("GET","http://www.bla.com/index.php",true);
xmlhttp.send();
}

提前致谢。