Если убрать строчку
xhr.setRequestHeader("Access-Control-Allow-Origin", "*");
тогда дополнительно к уже существующей появляется ошибка
SEC7120: The origin
https://evdata-t was not found in Access-Control-Allow-Origin-Header.
MissingPartSummary.html
Как это делается на сервере, в файле Web.config?