現代瀏覽器會對 JavaScript 網路要求套用同源安全限制,也就是說,從某個來源執行的網路應用程式無法擷取從其他來源提供的資料。如果是 VAST,這項安全限制會禁止 JavaScript VAST 轉譯程式碼發出的 JavaScript XMLHttpRequests,讀取來自不同來源的 VAST 廣告回應。
這項安全限制旨在防止某個來源在未經使用者授權的情況下,讀取使用者可能登入的其他來源資料。這項限制會對 JavaScript 環境中放送的 VAST 造成問題,因為廣告伺服器通常與廣告播放器位於不同網域。不過,跨源資源共享 (CORS) 標頭是 W3C 建議,可允許跨不同來源共用,藉此規避這項限制。
CORS 標頭
為避免跨源問題,VAST 廣告伺服器對 SDK 提出的要求所做的回應,必須包含下列 HTTP CORS 標頭:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true
這些標頭可讓任何來源的廣告播放器讀取廣告伺服器來源的 VAST 回應。將 Access-Control-Allow-Origin 的值設為廣告請求隨附的 Origin 標頭值,並將 Access-Control-Allow-Credentials 設為 true,確保 Cookie 能正確傳送及接收。
如需啟用 CORS 的進一步操作說明,請參閱「啟用跨源資源共享」。