Les navigateurs modernes appliquent des restrictions de sécurité d'origine identique aux requêtes réseau JavaScript, ce qui signifie qu'une application Web exécutée à partir d'une origine ne peut pas récupérer les données diffusées à partir d'une autre origine. Pour VAST, cette restriction de sécurité empêche les requêtes JavaScript XMLHttpRequests effectuées à partir du code de rendu VAST JavaScript de lire une réponse d'annonce VAST diffusée à partir d'une autre origine.
Cette restriction de sécurité vise à éviter les problèmes où une origine peut lire des données provenant d'une autre origine à laquelle un utilisateur peut être connecté sans son autorisation. Cette restriction pose problème pour les annonces VAST diffusées dans un environnement JavaScript, car un serveur publicitaire se trouve souvent sur un domaine différent de celui du lecteur d'annonces. Toutefois, les en-têtes Cross-Origin Resource Sharing (CORS) sont une recommandation du W3C qui contourne cette restriction en autorisant le partage entre différentes origines.
En-têtes CORS
Pour éviter les problèmes d'origine croisée, les réponses de l'ad server VAST aux requêtes effectuées par le SDK doivent inclure les en-têtes HTTP CORS suivants :
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Ces en-têtes permettent à un lecteur d'annonces, quelle que soit son origine, de lire la réponse VAST provenant de l'origine de l'ad server. Définissez la valeur de Access-Control-Allow-Origin sur celle de l'en-tête Origin envoyé avec la demande d'annonce, et Access-Control-Allow-Credentials sur true pour vous assurer que les cookies sont envoyés et reçus correctement.
Pour savoir comment activer CORS, consultez Activer le partage des ressources entre origines multiples.