Browser modern menerapkan batasan keamanan origin yang sama pada permintaan jaringan JavaScript, yang berarti bahwa aplikasi web yang berjalan dari satu origin tidak dapat mengambil data yang ditayangkan dari origin yang berbeda. Untuk VAST, batasan keamanan ini mencegah JavaScript XMLHttpRequests yang dibuat dari kode rendering VAST JavaScript membaca respons iklan VAST yang ditayangkan dari origin yang berbeda.
Pembatasan keamanan ini dimaksudkan untuk mencegah masalah saat suatu origin dapat membaca data dari origin lain yang mungkin digunakan pengguna untuk login tanpa izin pengguna tersebut. Pembatasan menimbulkan masalah bagi VAST yang ditayangkan di lingkungan JavaScript karena server iklan sering kali berada di domain yang berbeda dengan pemutar iklan. Namun, header Cross-Origin Resource Sharing (CORS) adalah rekomendasi W3C yang mengatasi batasan ini dengan mengizinkan berbagi di berbagai asal.
Header CORS
Untuk menghindari masalah lintas asal, respons server iklan VAST terhadap permintaan yang dibuat oleh SDK harus menyertakan header CORS HTTP berikut:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
Header ini memungkinkan pemutar iklan di semua origin membaca respons VAST
dari origin server iklan. Tetapkan nilai Access-Control-Allow-Origin
ke nilai header Origin yang dikirim dengan permintaan iklan, dan
Access-Control-Allow-Credentials ke true untuk memastikan
bahwa cookie dikirim dan diterima dengan benar.
Untuk mengetahui petunjuk lebih lanjut tentang cara mengaktifkan CORS, lihat Mengaktifkan cross-origin resource sharing.