Les navigateurs récents appliquent des restrictions de sécurité de même origine aux requêtes réseau JavaScript, ce qui signifie qu'une application Web exécutée à partir d'une origine ne peut pas récupérer de données diffusées depuis une origine différente. Pour VAST, cette restriction de sécurité empêche les XMLHttpRequests JavaScript effectuées à partir du code de rendu VAST JavaScript de lire une réponse d'annonce VAST diffusée depuis une origine différente.
Cette restriction de sécurité vise à éviter les problèmes où une origine est en mesure de lire des données à partir d'une autre origine auxquelles un utilisateur peut se connecter sans son autorisation. Cette restriction pose problème pour VAST diffusé dans un environnement JavaScript, car un ad server se trouve souvent sur un domaine différent de celui du lecteur. Cependant, les en-têtes de partage des ressources entre origines multiples (CORS) constituent une recommandation du W3C qui contourne cette restriction en permettant le partage entre différentes origines.
En-têtes CORS
Pour éviter les problèmes multi-origines, les réponses de l'ad server VAST aux requêtes effectuées par le SDK doivent inclure les en-têtes CORS HTTP suivants:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Ces en-têtes permettent à un lecteur d'annonces, quelle que soit son origine, de lire la réponse VAST à partir de l'origine de l'ad server. Définissez la valeur de Access-Control-Allow-Origin sur celle de l'en-tête Origin envoyé avec la demande d'annonce et Access-Control-Allow-Credentials sur true pour vous assurer que les cookies sont correctement envoyés et reçus.
Pour en savoir plus sur l'activation du CORS, consultez la section Activer le partage de ressources multi-origines.