Moderne Browser wenden Sicherheitsbeschränkungen für denselben Ursprung auf JavaScript-Netzwerkanfragen an. Das bedeutet, dass eine Webanwendung, die von einem Ursprung aus ausgeführt wird, keine Daten abrufen kann, die von einem anderen Ursprung bereitgestellt werden. Bei VAST wird durch diese Sicherheitsbeschränkung verhindert, dass JavaScript-XMLHttpRequests, die aus JavaScript-VAST-Rendering-Code erstellt wurden, eine VAST-Anzeigenantwort lesen, die von einer anderen Quelle bereitgestellt wird.
Diese Sicherheitsbeschränkung soll verhindern, dass ein Ursprung Daten aus einem anderen Ursprung lesen kann, in dem ein Nutzer möglicherweise ohne dessen Erlaubnis angemeldet ist. Die Einschränkung stellt ein Problem für VAST-Anzeigen dar, die in einer JavaScript-Umgebung ausgeliefert werden, da sich der Ad-Server häufig in einer anderen Domain als der Anzeigenplayer befindet.
CORS-Header (Cross-Origin Resource Sharing) sind ein W3C-Spezifikationsentwurf, der die Freigabe über verschiedene Quellen hinweg ermöglichen soll. Damit eine VAST-Ad-Server-Antwort in einer JavaScript-Umgebung bereitgestellt werden kann, muss sie die folgenden HTTP-CORS-Header enthalten:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: sollte dem Wert des Origin-Headers entsprechen, der mit der Anzeigenanfrage gesendet wird.
Der Access-Control-Allow-Credentials:-Header sorgt dafür, dass Cookies ordnungsgemäß gesendet und empfangen werden.
Weitere Informationen finden Sie in der W3C-Spezifikation zum Cross-Origin Resource Sharing.