En la spec para Server Sent Events , dice
Los autores deben verificar el atributo de origen para asegurarse de que los mensajes solo se aceptan de los dominios de los que esperan recibir mensajes. De lo contrario, los errores en el código de manejo de mensajes del autor podrían ser explotados por sitios hostiles.
¿Cómo se podrían recibir mensajes de dominios sin solicitarlos?
¿El hecho de que Server Sent Events no esté basado en HTTP (TCP) no lo haría imposible?