Browser modern menerapkan pembatasan keamanan asal yang sama ke permintaan jaringan JavaScript, yang berarti bahwa aplikasi web yang berjalan dari satu asal tidak dapat mengambil data yang disajikan dari asal yang berbeda. Untuk VAST, pembatasan keamanan ini mencegah
JavaScript XMLHttpRequests yang dibuat dari kode rendering VAST JavaScript agar tidak membaca
respons iklan VAST yang ditayangkan dari asal yang berbeda.
Pembatasan keamanan ini dimaksudkan untuk mencegah masalah saat suatu asal dapat membaca data dari asal lain yang mungkin digunakan pengguna untuk login tanpa izin pengguna tersebut. Batasan ini menimbulkan masalah untuk VAST yang ditayangkan di lingkungan JavaScript karena server iklan sering kali berada di domain yang berbeda dengan pemutar iklan.
Header Cross-Origin Resource Sharing (CORS) adalah spesifikasi draf W3C yang dimaksudkan untuk memungkinkan berbagi di berbagai asal. Agar dapat ditayangkan di lingkungan JavaScript, respons server iklan VAST harus menyertakan header CORS HTTP berikut:
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: trueHeader HTTP ini memungkinkan pemutar iklan di asal mana pun untuk membaca respons VAST dari asal server iklan. Nilai
Access-Control-Allow-Origin:
harus berupa nilai header Origin yang dikirim dengan permintaan iklan.
Header Access-Control-Allow-Credentials: memastikan bahwa
cookie dikirim dan diterima dengan benar.
Untuk informasi selengkapnya, lihat Spesifikasi Draf W3C tentang Berbagi Resource Lintas Asal