مرورگرهای مدرن محدودیتهای امنیتی یکسانی را برای درخواستهای شبکه جاوا اسکریپت اعمال میکنند، به این معنی که یک برنامه وب که از یک مبدأ اجرا میشود نمیتواند دادههای ارائهشده از منبع دیگری را بازیابی کند. برای VAST، این محدودیت امنیتی از خواندن پاسخ تبلیغ VAST که از مبدأ متفاوت ارائه شده است، مانع از خواندن JavaScript XMLHttpRequests ساخته شده از کد رندر VAST در جاوا اسکریپت می شود.
این محدودیت امنیتی برای جلوگیری از مشکلاتی است که در آن یک منبع قادر به خواندن دادههایی از مبدا دیگری است که ممکن است کاربر بدون اجازه آن کاربر وارد آن شود. این محدودیت مشکلاتی را برای VAST ارائه شده در محیط جاوا اسکریپت ایجاد می کند زیرا سرور تبلیغات اغلب در دامنه متفاوتی نسبت به پخش کننده تبلیغات قرار دارد.
هدرهای اشتراک منابع متقابل (CORS) یک پیش نویس مشخصات W3C است که به منظور امکان اشتراک گذاری در مبادی مختلف است. برای اینکه در محیط جاوا اسکریپت قابل ارائه باشد، پاسخ سرور تبلیغات VAST باید شامل سرصفحههای HTTP CORS زیر باشد:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueاین هدر HTTP به پخشکننده تبلیغات در هر مبدایی اجازه میدهد تا پاسخ VAST را از مبدا سرور آگهی بخواند. مقدار
Access-Control-Allow-Origin: باید مقدار سربرگ Origin ارسال شده با درخواست تبلیغ باشد. هدر Access-Control-Allow-Credentials: تضمین می کند که کوکی ها به درستی ارسال و دریافت می شوند.برای اطلاعات بیشتر، به مشخصات پیشنویس W3C در مورد اشتراکگذاری منابع متقاطع مراجعه کنید