Wenn die Daten von einer anderen Domain kommen, musst du dort den Cors-Header setzen (lassen).

Wieso? Hat perl oder PHP weniger Rechte als ein Browser, Seiten abzurufen?

Von PHP kenne ich das, das dem eigenen Server erlaubt werden muss, fremde Seiten zu lesen, irgendwas mit allow...

Genauer: Auf fremde Ressourcen zuzugreifen, ich nutze eigene Datenbanken für unterschiedliche Domains.