최신 브라우저는 자바스크립트 네트워크 요청에 동일 출처 보안 제한을 적용합니다. 즉, 한 출처에서 실행되는 웹 애플리케이션은 다른 출처에서 제공되는 데이터를 가져올 수 없습니다. VAST의 경우 이러한 보안 제한으로 인해 자바스크립트 VAST 렌더링 코드로 작성된 자바스크립트 XMLHttpRequest가 다른 출처에서 게재된 VAST 광고 응답을 읽을 수 없습니다.
이 보안 제한사항은 사용자가 로그인한 다른 출처의 데이터를 사용자의 허가 없이 출처에서 읽을 수 있는 문제를 방지하기 위한 것입니다. 광고 서버가 광고 플레이어와 다른 도메인에 있는 경우가 많으므로 제한사항으로 인해 자바스크립트 환경에서 게재되는 VAST에 문제가 발생합니다. 그러나 교차 출처 리소스 공유 (CORS) 헤더는 여러 출처 간의 공유를 허용하여 이러한 제한을 해결하는 W3C 권장사항입니다.
CORS 헤더
교차 출처 문제를 방지하기 위해 SDK의 요청에 대한 VAST 광고 서버 응답에는 다음 HTTP CORS 헤더가 포함되어야 합니다.
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
이 헤더를 사용하면 모든 출처의 광고 플레이어가 광고 서버 출처에서
VAST 응답을 읽을 수 있습니다. Access-Control-Allow-Origin의 값을
광고 요청과 함께 전송된 Origin 헤더의 값으로, Access-Control-Allow-Credentials를 true로 설정하여
쿠키가 제대로 전송 및 수신되도록 합니다.
CORS를 사용 설정하는 방법에 대한 자세한 안내는 교차 출처 리소스 공유 사용 설정을 참조하세요.