ええ、クロスドメインの JavaScript 呼び出しは禁止されているということを言いたかったのです。つまり、127.0.0.1 上にない JavaScript から 127.0.0.1 を呼び出すことはできません。考えてみると、ブラウザーが悪意のあるクロスドメイン JavaScript に人々の Facebook ページを変更させたら、かなり面白いことになりますね。
http://127.0.0.1:8330?pay=domain.com&amount=x&return=<wheretoreturn.php> のような場所を指す iframe を置く方法が考えられる。その iframe の中には小さなビットコインのインターフェースが表示され、いくらを誰に支払うかと、決済の確定・取消のボタンが並ぶ。確定すればコインがそのドメインに送られ、クエリ文字列の return に指定した場所へリダイレクトされる。ビットコイン側で ?paid=true や ?paid=false をリダイレクト先に付けておけば、ドメイン側の戻り先スクリプトが受領を正しく確認したり、注文を取り消したりできる。
Edit: 決済を確定する前に、このビットコインのインターフェースでパスワードも要求すべきだ。さもないと誰かのポート 8330 が開いているのを走査され、自動的に支払いを送らされてしまう。