Các trình duyệt hiện đại áp dụng các hạn chế về bảo mật cùng nguồn gốc đối với các yêu cầu mạng JavaScript, nghĩa là một ứng dụng web chạy từ một nguồn gốc không thể truy xuất dữ liệu được phân phát từ một nguồn gốc khác. Đối với VAST, hạn chế bảo mật này ngăn không cho JavaScript XMLHttpRequests tạo từ mã kết xuất VAST JavaScript đọc mã phản hồi quảng cáo VAST phân phát từ một nguồn gốc khác.
Quy định hạn chế bảo mật này nhằm ngăn chặn các vấn đề trong đó một nguồn gốc có thể đọc dữ liệu từ một nguồn gốc khác mà người dùng có thể đăng nhập mà không có sự cho phép của người dùng đó. Quy định hạn chế này gây ra các sự cố cho VAST được phân phát trong môi trường JavaScript vì máy chủ quảng cáo thường nằm trên một miền khác với trình phát quảng cáo.
Tiêu đề của tính năng Chia sẻ tài nguyên trên nhiều nguồn gốc (CORS) là một quy cách nháp của W3C, dùng để cho phép chia sẻ trên nhiều nguồn gốc. Để có thể phân phát trong môi trường JavaScript, phản hồi của máy chủ quảng cáo VAST phải bao gồm các tiêu đề HTTP CORS sau:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueTiêu đề HTTP này cho phép trình phát quảng cáo trên mọi nguồn gốc đọc phản hồi VAST từ nguồn gốc của máy chủ quảng cáo. Giá trị của
Access-Control-Allow-Origin:
phải là giá trị của tiêu đề Origin được gửi cùng với yêu cầu quảng cáo.
Tiêu đề Access-Control-Allow-Credentials: đảm bảo cookie được gửi và nhận đúng cách.
Để biết thêm thông tin, hãy tham khảo Thông số kỹ thuật của bản nháp W3C về Chia sẻ tài nguyên trên nhiều nguồn gốc