最新のブラウザでは、JavaScript ネットワーク リクエストに対して同一オリジンのセキュリティ制限が適用されます。つまり、あるオリジンから実行中のウェブアプリは、別のオリジンから提供されたデータを取得できません。VAST の場合、このセキュリティ制限により、JavaScript VAST レンダリング コードから作成された JavaScript XMLHttpRequests で、別の送信元から配信される VAST 広告レスポンスを読み取ることができなくなります。
このセキュリティ制限は、あるオリジンが、そのユーザーの許可なくログインした可能性がある別のオリジンからデータを読み取れる問題を防ぐためです。広告サーバーは広告プレーヤーとは異なるドメイン上にあることが多いため、この制限により、JavaScript 環境で配信される VAST に問題が生じます。ただし、クロスオリジン リソース シェアリング(CORS)ヘッダーは、異なるオリジン間での共有を許可することで、この制限を回避する W3C 推奨です。
CORS ヘッダー
クロスオリジンの問題を回避するため、SDK から送信されたリクエストに対する VAST 広告サーバーの応答には、次の HTTP CORS ヘッダーを含める必要があります。
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
これらのヘッダーを使用すると、どの配信元の広告プレーヤーも、広告サーバーのオリジンからの VAST レスポンスを読み取ることができます。Cookie の送受信が正しく行われるように、Access-Control-Allow-Origin の値を広告リクエストとともに送信される Origin ヘッダーの値に設定し、Access-Control-Allow-Credentials の値を true に設定します。
CORS を有効にする詳しい手順については、クロスオリジン リソース シェアリングを有効にするをご覧ください。