Les navigateurs modernes appliquent des restrictions de sécurité d'origine identique aux requêtes réseau JavaScript, ce qui signifie qu'une application Web exécutée à partir d'une origine ne peut pas récupérer les données diffusées à partir d'une autre origine. Pour VAST, cette restriction de sécurité empêche le code JavaScript XMLHttpRequests créé à partir du code de rendu VAST JavaScript de lire une réponse d'annonce VAST diffusée à partir d'une origine différente.
Cette restriction de sécurité vise à éviter les problèmes où une origine peut lire des données provenant d'une autre origine à laquelle un utilisateur peut être connecté sans son autorisation. Cette restriction pose problème pour les annonces VAST diffusées dans un environnement JavaScript, car un serveur publicitaire se trouve souvent sur un domaine différent de celui du lecteur d'annonces.
Les en-têtes CORS (Cross-Origin Resource Sharing) sont une spécification provisoire du W3C qui vise à autoriser le partage entre différentes origines. Pour pouvoir être diffusée dans un environnement JavaScript, la réponse d'un ad server VAST doit inclure les en-têtes HTTP CORS suivants :
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: doit correspondre à celle de l'en-tête Origin envoyé avec la demande d'annonce.
L'en-tête Access-Control-Allow-Credentials: garantit que les cookies sont envoyés et reçus correctement.
Pour en savoir plus, consultez la spécification provisoire W3C sur le partage des ressources entre origines multiples.