Кроссдоменная безопасность запрещает непосредственное общение между различными доменами. Dragonfly - это плагин, который работает на ином уровне, нежели JavaScript. Поэтому он имеет доступ.
В HTML5 есть такая фишка, как postMessage
http://javascript.ru/ajax/cross-origin-2
Она будет работать, если оба домена "согласны" обмениваться данными, т.е. если на Google Captcha встроен соответствующий набор команд, то ты сможешь через эти команды "общаться" с ним. Но сомневаюсь, что таким способом тебе передадут значение капчи...
Для общей информации, в FF есть greaseMonkey, в Chrome тоже есть какая-то шняга, которая позволяет написать Javascript и встроить его (и весь его функционал) на машине клиента (разумеется с разрешения клиента) сразу во все страницы в браузере