Ho imparato a conoscere la stessa politica sulle origini. Se si desidera accedere al contenuto JSON pubblico, è necessario utilizzare una soluzione alternativa, come CORS, reverse-proxy e JSONP.
Se in ECMAscript c'era un modo per uno script di chiedere esplicitamente al browser di inviare una richiesta non autenticata , gli script potevano accedere al contenuto pubblico mentre i browser non dovevano preoccuparsi che i cookie vengano utilizzati in modo improprio.
Le cose sono raramente così semplici, e sono sicuro che c'è una ragione per cui tale funzionalità non esiste. Non conosco abbastanza bene l'argomento per pensarci, però.