Infelizmente, algumas organizações paranóicas definem essa política por acreditar que o objeto XMLHttpRequest nativo apresenta um risco de segurança. Para a maioria (todas?) Circunstâncias, essa configuração não deve ser definida, pois irá quebrar aplicativos contemporâneos. No entanto, quando você se depara com pessoas de "segurança" paranóicas que apenas dizem "não", pode ser um desafio político significativo fazer com que essa política seja invertida.
Exemplo: o Oracle ADF não funcionará se esta configuração estiver ativada: link