新式瀏覽器對 JavaScript 網路要求套用同源安全限制,這表示從一個來源執行的網路應用程式無法擷取不同來源提供的資料。針對 VAST,這項安全限制會禁止由 JavaScript VAST 轉譯程式碼產生的 JavaScript XMLHttpRequests 讀取不同來源提供的 VAST 廣告回應。
這項安全性限制旨在防止某個來源能夠讀取使用者的來源,但使用者可能會在未取得使用者授權的情況下登入。這項限制會對 JavaScript 環境中放送的 VAST 問題造成問題,因為廣告伺服器通常會與廣告播放器位於不同網域。
跨源資源共享 (CORS) 標頭是 W3C 草擬規格,允許跨來源共用。如要在 JavaScript 環境中提供內容,VAST 廣告伺服器的回應必須包含下列 HTTP CORS 標頭:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true這個 HTTP 標頭可讓任何來源的廣告播放器讀取來自廣告伺服器來源的 VAST 回應。
Access-Control-Allow-Origin: 的值應為與廣告請求一併傳送的 Origin 標頭值。Access-Control-Allow-Credentials: 標頭可確保 Cookie 能正確傳送及接收。
詳情請參閱 W3C 跨源資源共享草稿規格