Это часть стандарта HTTP, HTTP-заголовки, которые сервер сайта возвращает клиенту, в том числе браузеру, давая понять, что разрешает HTTP-запросы (доступ к содержимому) со всех или только с заданных доменов (URL), но действует это только в браузере, то есть для запросов с клиентской стороны на страницах того сайта (JavaScript (AJAX), Flash, <iframe>), а если запрос делается с сервера, то ограничить невозможно, ограничениями "занимается" браузер именно, сервер ничем не отличается от обычного ПК. По умолчанию сервер (Apache/nginx) всегда запрещает доступ ко всем своим ресурсам, чтобы разрешить нужно отредактировать скрипты, чтобы к HTTP-ответу добавляли разрешающий заголовок для HTTP, и добавить разрешения в crossdomain.xml для Flash. Открытый же доступ бывает у "публичных" API, разрешающих такое использование, обычно они имеют "обертки" на JavaScript, внутри которых такие запросы.
