Заголовки ответа нужны только для того, чтобы в js получить содержимое ответа.
Сам по себе кроссдоменный запрос ведь не только через xhr можно сделать, а ещё массой способов. И куки всегда будут выставляться, потому что сервер ставит их для своих надобностей. А вот прежде чем отдать в скрипт содержимое ответа, браузер глянет наличие заголовков.
|