最新のブラウザでは、JavaScript ネットワーク リクエストに同一生成元セキュリティ制限が適用されます。つまり、ある生成元から実行されているウェブ アプリケーションは、別の生成元から配信されたデータを取得できません。VAST の場合、このセキュリティ制限により、JavaScript VAST レンダリング コードから作成された JavaScript XMLHttpRequests が、異なるオリジンから配信された VAST 広告レスポンスを読み取ることができなくなります。
このセキュリティ制限は、ユーザーがログインしている可能性のある別のオリジンから、ユーザーの許可なしにオリジンがデータを読み取れる問題を防止するためのものです。この制限は、JavaScript 環境で配信される VAST に問題を引き起こします。広告サーバーは、広告プレーヤーとは異なるドメインにあることが多いためです。
クロスオリジン リソース シェアリング(CORS)ヘッダーは、異なるオリジン間での共有を可能にするための W3C ドラフト仕様です。JavaScript 環境で配信可能にするには、VAST 広告サーバーのレスポンスに次の HTTP CORS ヘッダーを含める必要があります。
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: の値は、広告リクエストとともに送信される Origin ヘッダーの値にする必要があります。Access-Control-Allow-Credentials: ヘッダーは、Cookie が正しく送受信されるようにします。
詳細については、クロスオリジン リソース シェアリングに関する W3C ドラフト仕様をご覧ください。