I browser moderni applicano limitazioni di sicurezza della stessa origine alle richieste di rete JavaScript, il che significa che un'applicazione web in esecuzione da un'origine non può recuperare dati pubblicati da un'origine diversa. Per VAST, questa limitazione di sicurezza impedisce
al codice JavaScript XMLHttpRequests creato dal codice di rendering VAST JavaScript di leggere
una risposta di annuncio VAST pubblicata da un'origine diversa.
Questa limitazione di sicurezza ha lo scopo di evitare problemi in cui un'origine è in grado di leggere i dati di un'altra origine a cui un utente potrebbe aver eseguito l'accesso senza la sua autorizzazione. La limitazione pone problemi per VAST pubblicato in un ambiente JavaScript perché un ad server si trova spesso su un dominio diverso dal player di annunci.
Le intestazioni per la condivisione delle risorse tra origini (CORS) sono una bozza di specifica W3C pensata per consentire la condivisione tra origini diverse. Per essere pubblicabile in un ambiente JavaScript, la risposta di un ad server VAST deve includere le seguenti intestazioni HTTP CORS:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin:
deve corrispondere al valore dell'intestazione Origin inviata con la richiesta di annuncio.
L'intestazione Access-Control-Allow-Credentials: garantisce che
i cookie vengano inviati e ricevuti correttamente.
Per ulteriori informazioni, consulta la bozza di specifica W3C sulla condivisione delle risorse tra origini diverse.