Browser modern menerapkan batasan keamanan origin yang sama pada permintaan jaringan JavaScript, yang berarti bahwa aplikasi web yang berjalan dari satu origin tidak dapat mengambil data yang ditayangkan dari origin yang berbeda. Untuk VAST, batasan keamanan ini mencegah panggilan
XMLHttpRequests JavaScript yang dilakukan dari kode rendering VAST JavaScript membaca
respons iklan VAST yang ditayangkan dari asal yang berbeda.
Pembatasan keamanan ini dimaksudkan untuk mencegah masalah saat suatu origin dapat membaca data dari origin lain yang mungkin dimasuki pengguna tanpa izin pengguna tersebut. Pembatasan menimbulkan masalah bagi VAST yang ditayangkan di lingkungan JavaScript karena server iklan sering kali berada di domain yang berbeda dengan pemutar iklan.
Header Cross-Origin Resource Sharing (CORS) adalah draf spesifikasi W3C yang dimaksudkan untuk memungkinkan berbagi di berbagai asal. Agar dapat ditayangkan di lingkungan JavaScript, respons server iklan VAST harus menyertakan header CORS HTTP berikut:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin:
harus berupa nilai header Origin yang dikirim dengan permintaan iklan.
Header Access-Control-Allow-Credentials: memastikan bahwa cookie dikirim dan diterima dengan benar.
Untuk mengetahui informasi selengkapnya, lihat Spesifikasi Draf W3C tentang Cross-Origin Resource Sharing