Moin Rolf,

Unterschied: Der XHR hat die zusätzlichen Header Origin und Referer. Ob man diese Header aus dem Browser heraus per XHR faken kann, weiß ich nicht.

meinst du via setRequestHeader oder durch Manipulation der Request-Header in den Entwicklertools? Beides ist möglich.

Viele Grüße
Robert