בדפדפנים מודרניים מוחלות הגבלות אבטחה של מקור זהה על בקשות רשת של JavaScript. המשמעות היא שאפליקציית אינטרנט שפועלת ממקור אחד לא יכולה לאחזר נתונים שמוצגים ממקור אחר. ב-VAST, הגבלת האבטחה הזו מונעת מקוד JavaScript XMLHttpRequests שנוצר מקוד JavaScript לעיבוד VAST לקרוא תגובה של מודעת VAST שמוצגת ממקור אחר.
ההגבלה הזו נועדה למנוע מצבים שבהם מקור אחד יכול לקרוא נתונים ממקור אחר שמשתמש מחובר אליו, בלי אישור מהמשתמש. ההגבלה הזו יוצרת בעיות בהצגת מודעות בפורמט VAST בסביבת JavaScript, כי שרת המודעות נמצא לרוב בדומיין שונה מזה של נגן המודעות.
כותרות של שיתוף משאבים בין מקורות (CORS) הן טיוטת מפרט של W3C שנועדה לאפשר שיתוף בין מקורות שונים. כדי שמודעה תוצג בסביבת JavaScript, התגובה משרת מודעות VAST צריכה לכלול את כותרות ה-HTTP CORS הבאות:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: צריך להיות הערך של הכותרת Origin שנשלחת עם הבקשה להצגת מודעה.
הכותרת Access-Control-Allow-Credentials: מוודאת שקבצי ה-Cookie נשלחים ומתקבלים בצורה תקינה.
מידע נוסף זמין בטיוטת המפרט של W3C בנושא שיתוף משאבים בין מקורות