fetchできねーってなったのはfetcherをろだにあがってるやつにしたら動いて
あのCORS用のセキュリティーホールな設定してもInoReaderからfetchできねーってなってたのは
InoReaderにfetch付け足すスクリプトとfetcherの.jsを両方(リクエストURLとか)いじったうえで
fetcherの.javaでそのCORS用のレスポンスヘッダ手動で足したら動いた気がする

たぶんCORS関連のは、ヘッダ付けて返すドメインを設定で限定できるようになればおおよそ安全になる?