דפדפנים מודרניים מחילים הגבלות אבטחה מאותו מקור על בקשות רשת של JavaScript. כלומר, אפליקציית אינטרנט שפועלת ממקור אחד לא יכולה לאחזר נתונים ממקור אחר. ב-VAST, הגבלת האבטחה הזו מונעת מ-JavaScript XMLHttpRequests שמיוצר מקוד עיבוד VAST של JavaScript לקרוא תגובה למודעת VAST שמוצגת ממקור אחר.
מגבלת האבטחה הזו נועדה למנוע בעיות שבהן מקור אחד יכול לקרוא נתונים ממקור אחר שמשתמשים עשויים להתחבר אליו ללא רשות המשתמש. ההגבלה גורמת לבעיות ב-VAST שמוצג בסביבת JavaScript, כי בדרך כלל שרת המודעות נמצא בדומיין שונה מזה של נגן המודעות. עם זאת, הכותרות של שיתוף משאבים בין מקורות (CORS) הן המלצה של W3C כדי לעקוף את ההגבלה הזו ולאפשר שיתוף בין מקורות שונים.
כותרות ב-CORS
כדי להימנע מבעיות בין מקורות, תגובות של שרת מודעות VAST לבקשות שנשלחות על ידי ה-SDK חייבות לכלול את הכותרות הבאות של HTTP CORS:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
הכותרות האלה מאפשרות לנגן מודעות בכל מקור לקרוא את תגובת ה-VAST מהמקור של שרת המודעות. מגדירים את הערך של Access-Control-Allow-Origin לערך של הכותרת Origin שנשלחה עם הבקשה להצגת המודעה, ואת הערך Access-Control-Allow-Credentials כ-true כדי לוודא שקובצי ה-cookie יישלחו ויתקבלו כראוי.
הוראות נוספות להפעלת CORS זמינות במאמר הפעלה של שיתוף משאבים בין מקורות.