manconti ha scritto:

il BACO è nel WS che devo impostare in qualche modo, nella configurazione del server che ospita il WS, nel client che lo chiama, o sparsa nel cosmo e quindi non risolvibile?

Il "baco" non è un baco ma un'impostazione di sicurezza del browser per evitare script crosso domain (notoriamente pericolosi). Se intendi consumare il Web Service via AJAX il problema c'è ma puoi risolverlo nei seguenti modi:

1) adottando una qualunque delle tecniche che aggirino la limitazione del browser (si può fare in flash o iniettando script). IMHO escluderei questa possibilità (pessima idea quella di aggirare la sicurezza e, tra l'altro, nemmeno semplicissima da realizzare)

2) creando un semplicissimo proxy (ad esempio un altro web service) sul tuo server che wrappi le funzioni che intendi consumare via AJAX. In questo modo le chiamate diventano client -> tuo server -> servizio esterno, quindi perfettamente regolari.
Personalmente adotto questa tecnica e - spesso - faccio restituire al mio proxy i dati serializzati in JSON, pronti da consumare via javascript (tra server e client bastano una 50ina di righe di codice per implementare AJAX in questo modo!)
Introduci solo un piccolo overload lato server...

Ovviamente il problema esiste solo con client AJAX (browser) perché un'applicazione Windows Forms si può tranquillamente interfacciare con un Web Service sparso nel mondo.

HTH