Các trình duyệt hiện đại áp dụng các hạn chế bảo mật cùng nguồn gốc cho các yêu cầu mạng JavaScript, nghĩa là một ứng dụng web chạy từ một nguồn không thể truy xuất dữ liệu được phân phát từ một nguồn khác. Đối với VAST, hạn chế bảo mật này ngăn JavaScript XMLHttpRequests được tạo từ mã kết xuất VAST JavaScript đọc một phản hồi quảng cáo VAST được phân phát từ một nguồn gốc khác.
Hạn chế bảo mật này nhằm ngăn chặn các vấn đề khi một nguồn có thể đọc dữ liệu từ một nguồn khác mà người dùng có thể đã đăng nhập mà không có sự cho phép của người dùng đó. Quy định hạn chế này gây ra vấn đề cho VAST được phân phát trong môi trường JavaScript vì máy chủ quảng cáo thường nằm trên một miền khác với trình phát quảng cáo.
Tiêu đề Chia sẻ tài nguyên trên nhiều nguồn gốc (CORS) là một bản nháp đặc tả của W3C nhằm cho phép chia sẻ trên nhiều nguồn gốc. Để có thể phân phát trong môi trường JavaScript, phản hồi của máy chủ quảng cáo VAST phải bao gồm các tiêu đề HTTP CORS sau:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: phải là giá trị của tiêu đề Origin được gửi cùng với yêu cầu quảng cáo.
Tiêu đề Access-Control-Allow-Credentials: đảm bảo rằng cookie được gửi và nhận đúng cách.
Để biết thêm thông tin, hãy tham khảo Bản nháp quy cách của W3C về tính năng chia sẻ tài nguyên trên nhiều nguồn