Los navegadores modernos aplican restricciones de seguridad de mismo origen a las solicitudes de red de JavaScript, lo que significa que una aplicación web que se ejecuta desde un origen no puede recuperar datos que se entregan desde un origen diferente. En el caso de VAST, esta restricción de seguridad impide que las llamadas XMLHttpRequests de JavaScript realizadas desde el código de renderización de VAST de JavaScript lean una respuesta de anuncio de VAST que se haya publicado desde un origen diferente.
Esta restricción de seguridad tiene como objetivo evitar problemas en los que un origen puede leer datos de otro origen al que un usuario puede haber accedido sin el permiso de ese usuario. La restricción plantea problemas para VAST publicado en un entorno de JavaScript, ya que, a menudo, un servidor de anuncios se encuentra en un dominio diferente al del reproductor de anuncios.
Los encabezados de uso compartido de recursos multiorigen (CORS) son un borrador de especificación de W3C que tiene como objetivo permitir el uso compartido entre diferentes orígenes. Para que se pueda publicar en un entorno de JavaScript, la respuesta de un servidor de anuncios VAST debe incluir los siguientes encabezados CORS HTTP:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: debe ser el valor del encabezado Origin que se envía con la solicitud de anuncio.
El encabezado Access-Control-Allow-Credentials: garantiza que las cookies se envíen y reciban correctamente.
Para obtener más información, consulta la especificación preliminar de W3C sobre el uso compartido de recursos entre dominios.