Os navegadores modernos aplicam restrições de segurança de mesma origem a solicitações de rede JavaScript. Isso significa que um aplicativo da Web executado de uma origem não pode recuperar dados veiculados de uma origem diferente. Para VAST, essa restrição de segurança impede que
JavaScript XMLHttpRequests feito com código de renderização VAST em JavaScript leia
uma resposta de anúncio VAST veiculada de uma origem diferente.
Essa restrição de segurança tem como objetivo evitar problemas em que uma origem consegue ler dados de outra origem em que um usuário pode estar conectado sem a permissão dele. A restrição causa problemas para o VAST veiculado em um ambiente JavaScript, porque um servidor de anúncios geralmente está em um domínio diferente do player de anúncios.
Os cabeçalhos de compartilhamento de recursos entre origens (CORS) são uma especificação de rascunho do W3C destinada a permitir o compartilhamento entre origens diferentes. Para ser veiculada em um ambiente JavaScript, a resposta de um servidor de anúncios VAST precisa incluir os seguintes cabeçalhos HTTP CORS:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin:
precisa ser o valor do cabeçalho Origin enviado com a solicitação de anúncio.
O cabeçalho Access-Control-Allow-Credentials: garante que os cookies sejam enviados e recebidos corretamente.
Para mais informações, consulte o Rascunho da especificação do W3C sobre compartilhamento de recursos entre origens (em inglês).