Z pohledu webové stránky je obsah iframe zdroj. Když AJAXem stáhnete do webové stránky HTML, je to také zdroj. (Zdroj je Resource, tedy to „R“ v CORS).
Webová stránka je URL, které je v adresním řádku prohlížeče. To je ta kotva, ke které se kontroluje CORS (je to to „O“ v CORS – Origin). iframe (nebo jiný rámec) to trochu komplikuje a vytváří svůj vlastní origin, ale vůči stránce, uvnitř které je zobrazen, vystupuje jako zdroj.