Browser modern menerapkan pembatasan keamanan origin sama pada permintaan jaringan JavaScript, yang berarti aplikasi web yang berjalan dari satu origin tidak dapat mengambil data yang disalurkan dari origin yang berbeda. Untuk VAST, pembatasan keamanan ini mencegah XMLHttpRequests JavaScript yang dibuat dari kode rendering VAST JavaScript agar tidak membaca respons iklan VAST yang ditayangkan dari asal yang berbeda.
Pembatasan keamanan ini dimaksudkan untuk mencegah masalah saat satu origin dapat membaca data dari origin lain yang mungkin digunakan pengguna untuk login tanpa izin pengguna tersebut. Pembatasan ini menimbulkan masalah untuk VAST yang ditayangkan di lingkungan JavaScript, karena server iklan sering kali berada di domain yang berbeda dengan pemutar iklan. Namun, header Cross-Origin Resource Sharing (CORS) adalah rekomendasi W3C yang mengatasi pembatasan ini dengan mengizinkan aktivitas berbagi di berbagai origin.
Header CORS
Untuk menghindari masalah lintas asal, respons server iklan VAST terhadap permintaan yang dibuat oleh SDK harus menyertakan header CORS HTTP berikut:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Header ini memungkinkan pemutar iklan di origin apa pun untuk membaca respons VAST
dari asal server iklan. Tetapkan nilai Access-Control-Allow-Origin
ke nilai header Origin yang dikirim bersama permintaan iklan, dan
Access-Control-Allow-Credentials ke true untuk memastikan
bahwa cookie dikirim dan diterima dengan benar.
Untuk petunjuk lebih lanjut cara mengaktifkan CORS, lihat Mengaktifkan berbagi resource lintas asal.