דפדפנים מודרניים מחילים הגבלות אבטחה מאותו מקור על בקשות רשת JavaScript, כלומר שאפליקציית אינטרנט שפועלת ממקור אחד לא תוכל לאחזר נתונים שמגיעים ממקור אחר. ב-VAST, הגבלת האבטחה הזו מונעת מ-JavaScript XMLHttpRequests שנוצר מקוד ה-VAST של JavaScript לקרוא תגובת VAST שמוצגת ממקור אחר.
מטרת ההגבלה הזו היא למנוע בעיות שבהן מקור אחד יכול לקרוא נתונים ממקור אחר, שייתכן שהמשתמש התחבר אליו ללא הרשאה מהמשתמש. ההגבלה יוצרת בעיות ל-VAST שמיוצגות בסביבת JavaScript כי שרת מודעות נמצא לעיתים קרובות בדומיין שונה מזה של נגן המודעות.
הכותרות של 'שיתוף משאבים בין מקורות' (CORS) הן מפרטי W3C שנועדו לאפשר שיתוף בין מקורות שונים. כדי שאפשר יהיה להציג אותה בסביבת JavaScript, התגובה של שרת מודעות VAST חייבת לכלול את כותרות ה-HTTP CORS הבאות:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueכותרת ה-HTTP הזו מאפשרת לנגן מודעות בכל מקור לקרוא את התגובה של VAST ממקור של שרת המודעות. הערך של
Access-Control-Allow-Origin: צריך להיות הערך של הכותרת Origin בבקשת הבקשה.
הכותרת Access-Control-Allow-Credentials: מבטיחה שקובצי cookie יישלחו ויתקבלו כראוי.
למידע נוסף, אפשר לעיין במפרט טיוטת W3C בנושא שיתוף משאבים בין מקורות