최신 브라우저는 자바스크립트 네트워크 요청에 동일 출처 보안 제한을 적용합니다. 즉, 한 출처에서 실행되는 웹 애플리케이션은 다른 출처에서 제공된 데이터를 검색할 수 없습니다. VAST의 경우 이러한 보안 제한으로 인해 자바스크립트 VAST 렌더링 코드로 만든 자바스크립트 XMLHttpRequests가 다른 출처에서 게재된 VAST 광고 응답을 읽지 못합니다.
이러한 보안 제한사항은 한 출처가 사용자의 허가 없이 사용자가 로그인할 수 있는 다른 출처의 데이터를 읽을 수 없는 문제를 방지하기 위한 것입니다. 광고 서버가 광고 플레이어와 다른 도메인에 있는 경우가 많기 때문에 자바스크립트 환경에서 게재되는 VAST에 제한사항이 있습니다.
교차 출처 리소스 공유 (CORS) 헤더는 여러 출처 간 공유를 허용하기 위한 W3C 초안 사양입니다. 자바스크립트 환경에서 VAST 광고 서버의 응답에 게재되려면 다음 HTTP CORS 헤더를 포함해야 합니다.
Access-Control-Allow-Origin: <origin header value> Access-Control-Allow-Credentials: true이 HTTP 헤더를 사용하면 모든 출처의 광고 플레이어가 광고 서버 출처에서 VAST 응답을 읽을 수 있습니다.
Access-Control-Allow-Origin:의 값은
광고 요청과 함께 전송되는 Origin 헤더의 값이어야 합니다.
Access-Control-Allow-Credentials: 헤더는 쿠키가 제대로 전송 및 수신되도록 합니다.
자세한 내용은 교차 출처 리소스 공유에 대한 W3C 초안 사양을 참고하세요.