เบราว์เซอร์สมัยใหม่ใช้ข้อจำกัดด้านความปลอดภัยแบบต้นทางเดียวกันกับคำขอเครือข่าย JavaScript ซึ่งหมายความว่าเว็บแอปพลิเคชันที่ทำงานจากต้นทางหนึ่งจะไม่สามารถดึงข้อมูล ที่แสดงจากต้นทางอื่นได้ สําหรับ VAST ข้อจํากัดด้านความปลอดภัยนี้จะป้องกันไม่ให้ JavaScript XMLHttpRequests ที่สร้างจากโค้ดการแสดงผล VAST ของ JavaScript อ่านการตอบกลับโฆษณา VAST ที่แสดงจากต้นทางอื่น
ข้อจำกัดด้านความปลอดภัยนี้มีไว้เพื่อป้องกันปัญหาที่ต้นทางหนึ่งสามารถ อ่านข้อมูลจากต้นทางอื่นที่ผู้ใช้อาจเข้าสู่ระบบโดยไม่ได้รับ อนุญาตจากผู้ใช้รายนั้น ข้อจำกัดนี้ทำให้เกิดปัญหาสำหรับ VAST ที่แสดงในสภาพแวดล้อม JavaScript เนื่องจากเซิร์ฟเวอร์โฆษณามักจะอยู่ในโดเมนที่แตกต่างจาก โปรแกรมเล่นโฆษณา อย่างไรก็ตาม ส่วนหัวกลไกการแชร์ทรัพยากรข้ามโดเมน (CORS) เป็นคำแนะนำของ W3C ที่ช่วยหลีกเลี่ยงข้อจำกัดนี้โดยอนุญาตให้ แชร์ในต้นทางต่างๆ
ส่วนหัว CORS
การตอบกลับของเซิร์ฟเวอร์โฆษณา VAST ต่อคำขอที่ SDK สร้างขึ้นต้องมีส่วนหัว HTTP CORS ต่อไปนี้เพื่อหลีกเลี่ยงปัญหาข้ามต้นทาง
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
ส่วนหัวเหล่านี้ช่วยให้เพลเยอร์โฆษณาในต้นทางใดก็ตามอ่านการตอบกลับ VAST
จากต้นทางของเซิร์ฟเวอร์โฆษณาได้ ตั้งค่า Access-Control-Allow-Origin
เป็นค่าของส่วนหัว Origin ที่ส่งพร้อมกับคำขอโฆษณา และ
Access-Control-Allow-Credentials เป็น true เพื่อให้แน่ใจ
ว่ามีการส่งและรับคุกกี้อย่างถูกต้อง
ดูวิธีการเพิ่มเติมเกี่ยวกับการเปิดใช้ CORS ได้ที่ เปิดใช้การแชร์ทรัพยากรข้ามโดเมน