"Por motivos de seguridad, usando XMLHttpRequest sólo pueden realizarse peticiones al mismo dominio desde el que se ha cargado la página que origina la petición. Es decir, si cargamos una página desde www.domain.com, sólo se podrán hacer peticiones a URLs de la forma www.domain.com/lo-que-sea."

http://blog.koalite.com/2012/03/sopa-de-siglas-ajax-json-jsonp-y-cors/

Yo también buscaba algo, pensaba en usar una variable de Sesion, hasta que leí eso, pero igual creo que debe tener alguna vulnerabilidad, si alguien lo pudiera rectificar por favor :)

Saludos