Office 365 API : CORS の使用 - 松崎 剛 Blog - Site Home - MSDN Blogsをよんでいました。

JavaScript を使って Access Token を取得し、この Access Token を使って下記の通り Office 365 API を呼び出します

この部分をよんだときに、これまでCORSはサーバー側でのヘッダー実装が必要だし、Access-Control-Allow-Originヘッダを*にするのでなければ、サードパーティのホストをどうやって知りえるんだろうとおもっていましたが、よく考えれば、OAuth2のclient registrationの際にCORSで指定するホストを登録させればよいのだとおもいつきました。

そういえばと思い出して、Google API Consoleを確認すると、javascript生成元という欄があるではありませんか。
この値を使用してAccess-Control-Allow-Originヘッダを生成するんですね。

Google APIはGoogle Apps Scriptかネイティブアプリからしか呼び出したことなかったので考えたことがありませんでした。