בדפדפנים מודרניים מוחלות הגבלות אבטחה של מקור זהה על בקשות רשת של JavaScript. המשמעות היא שאפליקציית אינטרנט שפועלת ממקור אחד לא יכולה לאחזר נתונים שמוצגים ממקור אחר. ב-VAST, הגבלת האבטחה הזו מונעת מקוד עיבוד של JavaScript VAST, ששולח בקשות JavaScript XMLHttpRequests, לקרוא תגובה של מודעת VAST שמוצגת ממקור אחר.
ההגבלה הזו נועדה למנוע בעיות שבהן מקור אחד יכול לקרוא נתונים ממקור אחר שמשתמש מחובר אליו, בלי אישור המשתמש. ההגבלה הזו יוצרת בעיות בהצגת מודעות בפורמט VAST בסביבת JavaScript, כי שרת המודעות נמצא לרוב בדומיין שונה מזה של נגן המודעות. עם זאת, כותרות של שיתוף משאבים בין מקורות (CORS) הן המלצה של W3C שמאפשרת לעקוף את ההגבלה הזו על ידי שיתוף בין מקורות שונים.
כותרות CORS
כדי למנוע בעיות שקשורות למקורות שונים, התגובות של שרת המודעות בפורמט VAST לבקשות שנשלחות על ידי ה-SDK צריכות לכלול את כותרות ה-CORS הבאות של HTTP:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
הכותרות האלה מאפשרות לנגן מודעות בכל מקור לקרוא את תגובת VAST ממקור שרת המודעות. מגדירים את הערך של Access-Control-Allow-Origin
לערך של הכותרת Origin שנשלחת עם הבקשה להצגת מודעה, ואת Access-Control-Allow-Credentials ל-true כדי לוודא שקובצי ה-Cookie נשלחים ומתקבלים בצורה תקינה.
הוראות נוספות להפעלת CORS זמינות במאמר הפעלת שיתוף משאבים בין מקורות.