เบราว์เซอร์สมัยใหม่ใช้ข้อจำกัดด้านความปลอดภัยแบบต้นทางเดียวกันกับคำขอเครือข่าย JavaScript
ซึ่งหมายความว่าเว็บแอปพลิเคชันที่ทำงานจากต้นทางหนึ่งจะไม่สามารถดึงข้อมูล
ที่แสดงจากต้นทางอื่นได้ สําหรับ VAST ข้อจํากัดด้านความปลอดภัยนี้จะป้องกันไม่ให้ JavaScript XMLHttpRequests ที่สร้างจากโค้ดการแสดงผล VAST ใน JavaScript อ่านการตอบกลับโฆษณา VAST ที่แสดงจากต้นทางอื่น
ข้อจำกัดด้านความปลอดภัยนี้มีไว้เพื่อป้องกันปัญหาที่ต้นทางหนึ่งสามารถอ่านข้อมูลจากต้นทางอื่นที่ผู้ใช้อาจเข้าสู่ระบบโดยไม่ได้รับอนุญาตจากผู้ใช้รายนั้น ข้อจำกัดนี้ทำให้เกิดปัญหาสำหรับ VAST ที่แสดงในสภาพแวดล้อม JavaScript เนื่องจากเซิร์ฟเวอร์โฆษณามักจะอยู่ในโดเมนที่แตกต่างจาก โปรแกรมเล่นโฆษณา
ส่วนหัวของกลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) เป็นข้อกำหนดฉบับร่างของ W3C ที่มีจุดประสงค์ เพื่ออนุญาตให้แชร์ในต้นทางต่างๆ การตอบกลับของเซิร์ฟเวอร์โฆษณา VAST ต้องมีส่วนหัว HTTP CORS ต่อไปนี้จึงจะแสดงในสภาพแวดล้อม JavaScript ได้
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin:
ควรเป็นค่าของส่วนหัว Origin ที่ส่งพร้อมกับคำขอโฆษณา
ส่วนหัว Access-Control-Allow-Credentials: ช่วยให้มั่นใจได้ว่าระบบจะส่งและรับคุกกี้อย่างถูกต้อง
ดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดฉบับร่างของ W3C เกี่ยวกับการแชร์ทรัพยากรข้ามโดเมน