Так вот вы все верно написали, используем CORS, отдаем заголовок Access-Control-Allow-Origin.
Например, на PHP:
script.php:
<?php
header('Access-Control-Allow-Origin: *');
echo 'Hello!';
?>
Теперь можем абсолютно с любого домена совершить запрос на этот скрипт (например, с помощью jQuery):
$(function() {
$.get('http://example.com/script.php', function(data) {
alert(data); // Hello!
});
});
