В вики по-другому написано: "Cross-domain" AJAX requests are forbidden by default because of their ability to perform advanced requests (POST, PUT, DELETE and other types of HTTP requests, along with specifying custom HTTP headers) that introduce many cross-site scripting security issues. CORS defines a way in which a browser and server can interact to determine safely whether or not to allow the cross-origin request." И в общем-то логично, иначе какая это защита от хсс. Вот в этой статье, например: http://hayageek.com/cross-domain-ajax-request-jquery/ в серверных заголовках конкретно указываются, как методы/заголовки разрешены.

Протестируй у себя через хттп-прокси какой-нибудь и посмотрим, отправляются ли данные на самом деле через xmlhttprequest или нет.