Во первых, проверьте, отдаёт-ли веб-сервер конечного сайта заголовок
Access-Control-Allow-Origin:*
Подробнее можно изучить
здесь.
Во вторых, если обращение идет не на https, то IE8 будет выдавать предупреждающее окно.
Если в нем выбрать "Нет", то выбор запоминается на время сессии, и будет ошибка доступа.
В IE9- используется XDomainRequest, который представляет собой урезанный XMLHttpRequest.
На него действуют ограничения:
- Протокол нужно сохранять: запросы допустимы с HTTP на HTTP, с HTTPS на HTTPS. Другие протоколы запрещены.
- Метод open(method, url) имеет только два параметра. Он всегда асинхронный.
- Недоступны методы, кроме GET или POST.
- Нельзя добавлять свои заголовки, даже нельзя указать свой Content-Type для запроса, он всегда text/plain.
- Нельзя включить передачу кук и данных HTTP-авторизации.
- В IE8 в режиме просмотра InPrivate кросс-доменные запросы не работают.
Подробнее можно почитать
здесь