Пример чего? И у вас все верно, в смысле порядка установки заголовков, это мой грех, быстро глянул и ...
Все верно у вас - после open, но до send.
Но в любом случае работать не будет, так как сервер не дает разрешения на доступ к данным - не передает заголовка Access-Control-Allow-Origin.