Moderne Browser wenden Sicherheitseinschränkungen für denselben Ursprung auf JavaScript-Netzwerkanfragen an. Das bedeutet, dass eine Webanwendung von einem Ursprung aus keine Daten von einem anderen Ursprung abrufen kann. Bei VAST wird durch diese Sicherheitsbeschränkung verhindert, dass JavaScript-Code XMLHttpRequests aus dem VAST-Rendering-Code von JavaScript eine VAST-Anzeigenantwort aus einem anderen Ursprung ausliest.
Diese Sicherheitsbeschränkung soll Probleme verhindern, bei denen ein Ursprung Daten aus einem anderen Ursprung lesen kann, in denen ein Nutzer ohne seine Zustimmung angemeldet sein könnte. Die Einschränkung birgt Probleme für VAST, die in einer JavaScript-Umgebung ausgeliefert werden, da sich ein Ad-Server häufig auf einer anderen Domain als der Anzeigen-Player befindet.
CORS-Header (Cross-Origin Resource Sharing) sind eine W3C-Entwurfsspezifikation, die die Freigabe für verschiedene Ursprünge ermöglichen soll. Damit die Antwort eines VAST-Ad-Servers in einer JavaScript-Umgebung ausgeliefert werden kann, müssen sie die folgenden HTTP-CORS-Header enthalten:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueDieser HTTP-Header ermöglicht es einem Anzeigenplayer mit beliebigem Ursprung, die VAST-Antwort aus dem Ad-Server-Ursprung zu lesen. Der Wert von
Access-Control-Allow-Origin: sollte der Wert des Headers Origin sein, der mit der Anzeigenanfrage gesendet wurde.
Der Header Access-Control-Allow-Credentials: sorgt dafür, dass Cookies ordnungsgemäß gesendet und empfangen werden.
Weitere Informationen finden Sie in der W3C-Entwurfsspezifikation zur Cross-Origin Resource Sharing.